安全连接

密码复杂度

agent v3.0.55(含)版本后，支持对agent密码复杂度的校验，在使用 -p 参数对agent密码进行设置时，会显示密码复杂度。

开启密码复杂度校验必须设置 AG_PASSWD_CHECK 参数为true，开启后，密码长度不低于8位，必须包含字母、数字、大小写、符号中的任意2个，满足2个条件为低强度，3个为中强度，4个未高强度，设置密码后会打印密码强度。

登录次数限制

agent v3.0.55(含)版本后，支持对agent错误访问的限制，超过次数会被锁定(默认5次)，默认锁定5分钟(300秒) ，相关参数 AG_LOGIN_LOCKED_TIMES 为错误次数限制； AG_LOCKING_TIME 为锁时间。

如果AG_LOGIN_LOCKED_TIMES为0，则代表不限制错误登录次数,如果AG_LOGIN_LOCKED_TIMES为负值，则会重置为默认次数5次,如果超过Int类型的最大值(2147483647)，那么这个错误次数就会被重置为默认次数，AG_LOGIN_LOCKED_TIMES的范围为（0~2147483647）次。

如果AG_LOCKING_TIME为0，则代表不限制锁定时间,如果AG_LOCKING_TIME为负值，则会重置为默认时间300秒,如果超过Int类型的最大值(2147483647)，那么这个锁定时间就会被重置为默认时间，AG_LOCKING_TIME的范围为（0~2147483647）秒。

ssl安全通信

数据库维护工具在连接agent时，如果选择了可信连接方式，需要配置相关证书(证书的生成需要用dba管理工具中的ca工具进行进行生成)。ca工具中支持为agent单独生成服务器端和客户端的证书。

• 服务器端证书相关文件：
  • agent.crt
  • agent.key
  • ca.crt
  • ca.key
  • ca.crl
• 客户端证书相关文件：
  • SYSDBA.crt
  • SYSDBA.key
  • ca.crt

agent的服务器证书和ca文件必须放置在$SZ_OSCAR_HOME/agent/目录下。

安全通信时，必须配置agent中的两个参数：

• • AG_SEC_CRTFILE
  • ca.crt
  • 安全访问所需的根证书文件名称
• • AG_SEC_KEYFILEPWD
  • keypassword
  • 安全访问所需的Key文件密码
• • AG_SEC_LEVEL
  • 0
  • SSL库的安全级别，可选值:0~5。表示openssl安全等级，0是允许一切，1是80位安全级别，即禁止短于1024位的RAS、DSA和DH的密钥以及短于160位的ECC密钥；2是112位安全级别，即禁止短于2048位的RAS、DSA和DH的密钥以及短于224的ECC密钥；3是128位安全级别，即禁止短于3072位的RAS、DSA和DH的密钥以及短于256位的ECC密钥；4是192位安全级别，即禁止短于7680位的RAS、DSA和DH的密钥以及短于384位的ECC密钥；5是256位安全级别，即禁止短于15360位的RAS、DSA和DH的密钥以及短于512位的ECC密钥
• • AG_SEC_COMMUNICATION_LEVEL
  • 0
  • Agent连接的安全等级，可选值:0~2, 0 不启用安全通信功能,1 启用安全通信功能,但是否进行安全通信,由客户端来决定,2 启用安全通信功能, 强制客户端进行安全通信．

注解

agent v3.0.55(含) 版本才支持了单独的ca认证。之前老版本与数据库OSRDB实例共享一个ca证书，需当前必须有一个OSRDB实例，且为OSRDB实例配置了可信连接相关参数。