Ändert eine bestehende Login-Richtlinie.
SyntaxALTER LOGIN POLICY policy-name policy-optionspolicy options : policy-option [ policy-option ... ]
policy-option :
policy-option-name = policy-option-valuepolicy-option-value :
{ UNLIMITED
| DEFAULT
| legal-option-value } Parameterpolicy-name Der Name der Login-Richtlinie. Geben Sie "root" an, um die Root-Login-Richtlinie zu ändern.
policy-option-name Der Name der Richtlinienoption.
policy-option-value Der Wert, der der Login-Richtlinienoption zugewiesen wird. Wenn Sie UNLIMITED angeben, werden keine Limits verwendet. Wenn Sie DEFAULT angeben, werden die Standardlimits verwendet.
| Richtlinienoptionsname | Beschreibung | Standardwert | Gilt für: |
|---|---|---|---|
| auto_unlock_time | Die Zeitspanne, nach der gesperrte Konten automatisch freigegeben werden. | Unlimited | Alle Benutzer außer denjenigen mit MANAGE ANY USER-Systemprivileg |
| change_password_dual_control |
Wenn der Wert für diese Option ON ist, muss das Kennwort von zwei Administratoren festgelegt werden. Die Einstellung für die verify_password_function-Option wird ignoriert, wenn diese Option auf ON gesetzt ist, weil das Kennwort separat in zwei Teilen konfiguriert wird. Es wird keine Überprüfung durchgeführt. |
OFF | Alle Benutzer |
| ldap_primary_server | Der Name des LDAP-Primärservers. | (keiner) | Alle Benutzer |
| ldap_secondary_server | Der Name des LDAP-Sekundärservers. | (keiner) | Alle Benutzer |
| ldap_auto_failback_period | Die Zeitspanne in Minuten, nach der ein automatischer Failback auf den Primärserver versucht wird. | 15 Minuten | Alle Benutzer |
| ldap_failover_to_std | Angabe, ob die Authentifizierung mit Standardauthentifizierung zulässig sein soll, wenn die Authentifizierung über den LDAP-Server fehlschlägt, weil der Distinguished Name (DN) für einen Benutzer nicht gefunden wird, Systemressourcen fehlen bzw. Netzwerkausfälle, Verbindungs-Timeouts oder ähnliche Systemfehler auftreten. Dieses Einstellung lässt nicht zu, dass bei Rückgabe eines tatsächlichen Authentifizierungsfehlers durch einen LDAP-Server ein Failover auf die Standardauthentifizierung erfolgt (wie es der Fall ist, wenn der Benutzer gefunden wird, aber das angegebene Kennwort nicht passt). | ON | Alle Benutzer |
| ldap_refresh_dn |
Zum Zeitpunkt der Festlegung dieser Richtlinienoption durch eine CREATE LOGIN POLICY- oder ALTER LOGIN POLICY-Anweisung wird der aktuelle Zeitwert mit der Login-Richtlinie gespeichert. Dieser Wert ist der Zeitstempel, der bei der Benutzerauthentifizierung mit dem in ISYSUSER für den betreffenden Benutzer gefundenen user_dn_cached_at-Wert verglichen wird. Wenn der Wert in der Richtlinie neuer ist als der user_dn_cached_at-Wert in ISYSUSER, wird nach dem Distinguished Name (DN) eines Benutzers gesucht, um den user_dn-Wert in ISYSUSER zu aktualisieren. Der Wert NOW ist der einzige gültige Wert, der dieser Richtlinienoption zugeordnet werden kann. Alle anderen führen zu einer Fehlermeldung. Der Wert wird in der Coordinated Universal Time (UTC) angegeben und als Zeichenfolge im Standardformat des Servers gespeichert. |
(keiner) | Alle Benutzer |
| locked | Wenn der Wert für diese Option ON ist, dürfen die Benutzer keine neuen Verbindungen mehr herstellen. Die reason_locked-Spalte der sa_get_user_status-Systemprozedur gibt eine vom Datenbankserver erstellte Zeichenfolge zurück, die anzeigt, warum ein Benutzer gesperrt ist. | OFF | Alle Benutzer außer denjenigen mit MANAGE ANY USER-Systemprivileg |
| max_connections | Die maximale Anzahl gleichzeitiger Verbindungen, die einem Benutzer gestattet sind. | Unlimited |
Alle Benutzer außer denjenigen mit SERVER OPERATOR- oder DROP CONNECTION-Systemprivileg |
| max_failed_login_attempts | Die maximale Anzahl fehlgeschlagener Login-Versuche seit dem letzten erfolgreichen Versuch, bevor der Benutzer gesperrt wird. Benutzer mit SYS_AUTH_DBA_ROLE-Kompatibilitätsrolle werden freigegeben, wenn seit dem letzten gescheiterten Login-Versuch eine Minute vergangen ist. | Unlimited | |
| max_days_since_login | Die maximale Anzahl von Tagen zwischen erfolgreichen Logins durch denselben Benutzer. | Unlimited | Alle Benutzer außer denjenigen mit MANAGE ANY USER-Systemprivileg |
| max_non_dba_connections | Die maximale Anzahl gleichzeitiger Verbindungen, die Benutzer herstellen können. Diese Option wird nur bei der Root-Login-Richtlinie verwendet. | Unlimited |
Alle Benutzer außer denjenigen mit SERVER OPERATOR- oder DROP CONNECTION-Systemprivileg |
| password_life_time | Die maximale Anzahl von Tagen, bis ein Kennwort geändert werden muss | Unlimited | Alle Benutzer |
| password_grace_time | Die Anzahl der Tage bis zum Kennwortablauf. Das Login ist möglich, aber die Standardprozedur post_login gibt Warnungen aus. | 0 | Alle Benutzer |
| password_expiry_on_next_login | Wenn der Wert für diese Option ON ist, läuft das Kennwort des Benutzers nach dem nächsten Login ab. | OFF | Alle Benutzer |
| root_auto_unlock_time | Die Zeitspanne, nach der gesperrte Konten automatisch freigegeben werden. Diese Option wird nur von der Root-Login-Richtlinie unterstützt. | 1 Minute | Benutzer mit MANAGE ANY USER-Systemprivileg |
BemerkungenWenn eine Login-Richtlinie geändert wird, gelten die Änderungen sofort für alle Benutzer.
Wenn Sie keine Richtlinienoption angeben, werden Werte für diese Login-Richtlinie aus der Root-Login-Richtlinie übernommen. Neue Richtlinien erben nicht die Richtlinienoptionen MAX_NON_DBA_CONNECTIONS und ROOT_AUTO_UNLOCK_TIME.
Alle neuen Datenbanken enthalten eine Root-Login-Richtlinie. Sie können die Werte der Root-Login-Richtlinie ändern, aber Sie können die Richtlinie nicht löschen. Einen Überblick über die Standardwerte für die Root-Login-Richtlinie finden Sie in der Tabelle oben.
PrivilegienSie müssen das MANAGE ANY LOGIN POLICY-Systemprivileg haben.
NebenwirkungenKeine.
Siehe auch Standards und KompatibilitätSQL/2008 Erweiterung des Herstellers.
BeispieleIm folgenden Beispiel wird die fiktive Login-Richtlinie "Test1" mithilfe der Richtlinienoptionen LOCKED und MAX_CONNECTIONS geändert. Der LOCKED-Wert gibt an, dass Benutzer mit der Richtlinie keine neuen Verbindungen herstellen können, und der MAX_CONNECTIONS-Wert beschränkt die zulässige Anzahl von gleichzeitigen Verbindungen.
ALTER LOGIN POLICY Test1 LOCKED=ON MAX_CONNECTIONS=5; |
In diesem Beispiel werden die Richtlinienoptionen LOCKED und MAX_CONNECTIONS aus der Root-Login-Richtlinie aufgehoben.
ALTER LOGIN POLICY root LOCKED=ON MAX_CONNECTIONS=5; |
Im folgenden Beispiel werden ein primärer und ein sekundärer LDAP-Server für eine fiktive Login-Richtlinie "ldap_user_policy" festgelegt und die Möglichkeit, ein Failover auf die Standard-Authentifizierung durchzuführen, wird deaktiviert, auch wenn die login_mode-Datenbankoption den Wert "Standard" enthält. Dies ermöglicht eine strikte Kontrolle der Benutzer dieser Login-Richtlinie, damit nur die LDAP-Benutzerauthentifizierung für die Authentifizierung verwendet werden kann. Falls das Aufkommen an Login-Verbindungen so hoch wird, dass der LDAP-Server nicht mehr schnell reagieren und die Benutzer authentifizieren kann, werden für Benutzer, deren Wiederholungen und Timeouts erschöpft sind, Fehler bei der Verbindung mit dem Datenbankserver angezeigt, statt ein Failover auf die Standard-Authentifizierung durchzuführen.
ALTER LOGIN POLICY ldap_user_policy LDAP_PRIMARY_SERVER=ldapsrv1 LDAP_SECONDARY_SERVER=ldapsrv2 LDAP_FAILOVER_TO_STD=OFF; |
Im folgenden Beispiel wird der Zeitstempelwert für eine fiktive Login-Richtlinie "application_user_policy" auf die aktuelle Zeit zurückgesetzt. Für alle Benutzer, denen diese Richtlinie zugeordnet ist, wird beim nächsten Login-Versuch nach dem Distinguished Name (DN) gesucht, statt den jeweiligen in ISYSUSER im Cache abgelegten Wert zu verwenden. Durch diese Strategie werden bei der nächsten Authentifizierung alte DN-Werte in ISYSUSER für Benutzer gelöscht, die dieser Richtlinie zugeordnet sind.
ALTER LOGIN POLICY application_user_policy LDAP_REFRESH_DN=NOW; |
 |
Kommentieren Sie diese Seite in DocCommentXchange.
|
Copyright © 2013, SAP AG oder ein SAP-Konzernunternehmen. - SAP Sybase SQL Anywhere 16.0 |