变更现有登录策略。
语法ALTER LOGIN POLICY policy-name policy-optionspolicy options : policy-option [ policy-option ... ]
policy-option :
policy-option-name = policy-option-valuepolicy-option-value :
{ UNLIMITED
| DEFAULT
| legal-option-value } 参数policy-name 登录策略的名称。指定修改根登录策略的根。
policy-option-name 策略选项的名称。
policy-option-value 指派给登录策略选项的值。如果指定为 UNLIMITED,则未使用限制。如果指定为 DEFAULT,则使用缺省的限制。
| Policy-option-name | 说明 | 缺省值 | 适用于: |
|---|---|---|---|
| auto_unlock_time | 锁定的帐户自动解锁前的时间段。 | 无限制 | 所有不具备 MANAGE ANY USER 系统特权的用户 |
| change_password_dual_control |
此选项的值为 ON 时,口令需要由两名管理员共同设置。 如果此选项设置为 ON,则将忽略 verify_password_function 选项的设置,因为口令将分为两部分分别进行配置。此过程不会执行验证。 |
OFF | 所有用户 |
| ldap_primary_server | 主 LDAP 服务器的名称。 | (无) | 所有用户 |
| ldap_secondary_server | 次级 LDAP 服务器的名称。 | (无) | 所有用户 |
| ldap_auto_failback_period | 尝试自动故障回复到主服务器前的时间段(分钟)。 | 15 分钟 | 所有用户 |
| ldap_failover_to_std | 由于用户可分辨名称 (DN) 定位失败、系统资源不足、网络中断、连接超时或类似的系统故障导致 LDAP 服务器验证失败时,是否允许使用标准验证进行验证。该设置不允许从 LDAP 服务器返回的实际验证失败故障转移到标准验证(这通常发生在用户已定位但提供的口令不匹配的情况下)。 | ON | 所有用户 |
| ldap_refresh_dn |
在通过 CREATE LOGIN POLICY 或 ALTER LOGIN POLICY 语句指定该策略选项时,使用登录策略存储当前的时间值。当用户验证对 ISYSUSER 中找到的用户 user_dn_cached_at 值进行比较时,将使用此值作为对照时间戳。如果策略中的值比 ISYSUSER 中的 user_dn_cached_at 值更新,将对用户可分辨名称 (DN) 进行搜索以刷新 ISYSUSER 中的 user_dn 值。 值 NOW 是指派给此策略选项的唯一有效值。所有其它值都会导致错误。该值以协调通用时间 (UTC) 表示,并作为服务器缺省格式的字符串进行保存。 |
(无) | 所有用户 |
| locked | 如果此选项的值为 ON,则不允许用户建立新连接。sa_get_user_status 系统过程的 reason_locked 列返回由数据库服务器生成的字符串,该字符串显示锁定用户的原因。 | OFF | 所有不具备 MANAGE ANY USER 系统特权的用户 |
| max_connections | 用户允许的最大并发连接数。 | 无限制 |
所有不具备 SERVER OPERATOR 或 DROP CONNECTION 系统特权的用户 |
| max_failed_login_attempts | 从上次成功尝试起,锁定用户之前尝试登录的最大失败次数。自最近失败的登录尝试起一分钟后,将解锁具有 SYS_AUTH_DBA_ROLE 兼容性角色的用户。 | 无限制 | |
| max_days_since_login | 同一用户在两次连续登录之间可以经过的最大天数。 | 无限制 | 所有不具备 MANAGE ANY USER 系统特权的用户 |
| max_non_dba_connections | 用户可以建立的并行连接的最大数量。只在根登录策略中支持此选项。 | 无限制 |
所有不具备 SERVER OPERATOR 或 DROP CONNECTION 系统特权的用户 |
| password_life_time | 必须更改口令之前的最大天数。 | 无限制 | 所有用户 |
| password_grace_time | 口令到期之前的天数,这段时间内允许登录但缺省 post_login 过程会发出警告。 | 0 | 所有用户 |
| password_expiry_on_next_login | 如果此选项的值为 ON,则用户口令将在下次登录后到期。 | OFF | 所有用户 |
| root_auto_unlock_time | 锁定的帐户自动解锁前的时间段。只在根登录策略中支持此选项。 | 1 分钟 | 具有 MANAGE ANY USER 系统特权的用户 |
注释变更登录策略后,更改会立即应用到所有用户。
如果不指定任何策略选项,则将从根登录策略获得此登录策略值。新策略不继承 MAX_NON_DBA_CONNECTIONS 和 ROOT_AUTO_UNLOCK_TIME 策略选项。
所有新数据库都包含根登录策略。可以修改根登录策略的值,但不能删除该策略。上表概述了根登录策略的缺省值。
特权您必须具有 MANAGE ANY LOGIN POLICY 系统特权。
副作用无。
另请参见 标准和兼容性SQL/2008 服务商扩充。
示例以下示例通过更改 LOCKED 和 MAX_CONNECTIONS 策略选项来更改虚构 Test1 登录策略。LOCKED 值表示使用该策略的用户不能建立新的连接,MAX_CONNECTIONS 值限制所允许的并发连接数。
ALTER LOGIN POLICY Test1 LOCKED=ON MAX_CONNECTIONS=5; |
本示例将替换根登录策略 LOCKED 和 MAX_CONNECTIONS 策略选项。
ALTER LOGIN POLICY root LOCKED=ON MAX_CONNECTIONS=5; |
以下示例针对虚构 ldap_user_policy 登录策略设置主 LDAP 服务器和次级 LDAP 服务器,并禁用通过故障转移而使用标准验证的功能,即使数据库选项 login_mode 包括 'Standard' 也是如此。这会严格地控制此登录策略的用户,使得只有 LDAP 用户验证才能用于验证。如果出现大量的登录连接,使得 LDAP 服务器无法进行快速响应和验证,则重试和超时被用尽的用户将会看到与数据库服务器的连接失败,而不是进行故障转移以使用标准验证。
ALTER LOGIN POLICY ldap_user_policy LDAP_PRIMARY_SERVER=ldapsrv1 LDAP_SECONDARY_SERVER=ldapsrv2 LDAP_FAILOVER_TO_STD=OFF; |
以下示例将虚构 application_user_policy 登录策略的时间戳值重置为当前时间。如果用户被指派为使用此策略,则会在下次尝试登录时搜索用户的可分辨名称 (DN),而不是使用 ISYSUSER 中高速缓存的值。对于与此策略相关联的用户,这种方法会在下次对该用户进行验证时清除 ISYSUSER 中为其保存的旧 DN 值。
ALTER LOGIN POLICY application_user_policy LDAP_REFRESH_DN=NOW; |
 |
使用DocCommentXchange讨论此页。
|
版权 © 2013, SAP 股份公司或其关联公司. - SAP Sybase SQL Anywhere 16.0 |