Блог

Я пытаюсь разработать процедуру в HANA, которая активирует и деактивирует специального пользователя базы данных и регистрирует все в этом отношении.

Мне нравится, что у пользователя всегда один и тот же начальный пароль после активации, но он вынужден менять его при входе в систему.

У вас есть представление о том, как я могу это реализовать?

В настоящее время я терплю неудачу из-за политики паролей. Я не хочу касаться этой политики, и в ней говорится, что последние 5 паролей не разрешены для использования.

Есть ли способ пять раз предоставить пользователю любой пароль с помощью случайной функции и шестой раз пароль по умолчанию?

Приветствуются любые отзывы относительно реализации, улучшений и дальнейших идей.

Заранее спасибо.

Вы просили дать отзыв:

• обходить политики безопасности, которые, предположительно, были установлены специально, не очень хорошая идея

• самостоятельное ведение журнала также не кажется хорошей идеей. SAP HANA предоставляет аудит в качестве функции. Вместо написания кода ведения журнала рассмотрите возможность настройки соответствующей политики аудита

• идея иметь пользователя с тем же паролем после активации, который затем необходимо изменить, довольно небезопасна. Это буквально то же самое, что оставить ключ от своего дома прямо за дверью вместе с инструкцией по замене замков после входа. Безопасность работает не так.

• нет необходимости вручную COMMIT после ALTER USER

• видя, что ваш код ожидает целый список пользователей, похоже, что одним из возможных сценариев использования для этого могут быть тестовые или обучающие пользователи. В этом случае рекомендуется вообще не беспокоиться о повторной активации пользователя.
  Либо создайте вечные одноразовые учетные записи (например, TRAIN01-2020-01… ОБУЧЕНИЕ01-2020-01) или удаляйте и воссоздавайте пользователей всякий раз, когда новый набор пользователей должен использовать учетные записи. Это позволит избежать необходимости «танцевать вокруг» политики 5 последних паролей в целом.

• ПОЖАЛУЙСТА, выберите имена для процедур, которые проясняют, что должен делать код. "START" / "STOP" не имеет никакого отношения к коду.

• Какова цель сохранения состояния деактивированных учетных записей в таблице? HANA отслеживает текущее состояние, вкл. отметка времени деактивации автоматически.

• возвращаясь к идее «простого использования 5 случайных паролей» перед установкой пароля на общеизвестный: ничто в вашем коде не обрабатывает случай, когда случайный пароль был создан ранее. Также: обычно политики паролей также ограничивают частоту смены паролей в день — именно для того, чтобы избежать подобных стратегий.

Надеюсь, что это поможет, тем не менее.

Я думаю, что плохо давать какие-либо советы, когда кто-то пытается изобретать велосипед и обходные политики безопасности, потому что кому-то еще нужно будет поддерживать это чудовищное решение.

Но в любом случае, зачем вам какой-либо случайный пароль, если, наконец, вы установите желаемый? Просто переберите 6 предопределенных паролей и установите их один за другим. Для аудита вы можете создать политику аудита для этих пользователей и использовать стандартные поддерживаемые инструменты для отслеживания изменений.

РЕДАКТИРОВАТЬ: это код о «циклическом переборе 6 предопределенных паролей»:

 do( in iv_base_pwd nvarchar(20) => 'qwe')
begin
  declare lv_pwd_count int;
  declare lv_i int := 0;
  
  select value
    into lv_pwd_count
  from m_password_policy
  where property = 'last_used_passwords';
  
  while lv_i <= lv_pwd_count do
    execute immediate 'alter user myuser password ''' || iv_base_pwd || '_' || lv_i | '''';
    lv_i := lv_i   1;
  end while;

  execute immediate 'alter user myuser password ''' || iv_base_pwd || '''';;
end;