配置密码复杂度策略时，需要在配置文件中修改哪些参数？这些参数是全局生效还是按用户生效？

在 GBase 8a MPP Cluster 中配置密码复杂度策略，需要在集群配置文件中修改一组特定的参数。这些参数是全局生效的，即对集群中的所有用户（包括新建用户和已有用户）立即生效。

一、需要修改的配置文件及参数

密码策略参数属于只读参数，必须通过修改配置文件并重启服务的方式生效。需要修改两个层级的配置文件：

1. GCluster层配置文件（管理调度层）：

   • 路径：$GCLUSTER_BASE/config/gbase_8a_gcluster.cnf

      

     password_min_length=8
     password_format_option=3
     password_not_same_reverse_username=1
     password_max_contain_continuous_char=4
     password_reuse_max=3
     password_life_time=30
     login_attempt_max=6

2. GNode层配置文件（数据存储计算层）：
   • 路径：$GBASE_BASE/config/gbase_8a_gbase.cnf
   • 操作：需要在此文件中同样增加上述完全相同的参数和值。

修改完成后，必须重启集群服务才能使配置生效：

gcluster_services all restart

二、各参数含义与对应策略

下表详细说明了每个参数对应的安全要求：

三、参数生效范围：全局生效

这些参数是全局（集群级）安全策略，其生效范围具有以下特点：

1. 对全体用户生效：一旦配置生效，所有用户（包括 root、gbase 及后续创建的任何用户）的密码设置和登录行为都必须遵守此策略。
2. 即时影响：
   • 新建用户：必须使用符合新策略的密码。
   • 已有用户：
     • 下次修改密码时，必须符合新策略。
     • 登录时：如果使用旧密码，可以正常登录。但密码过期后或触发连续登录失败锁定时，将受新策略约束。
   • 实验验证：配置生效后，之前创建的简单密码用户 u1（密码为 111111）在登录时会报错“密码不符合”，强制要求修改为符合新策略的密码（如 123Abc321!）后才能登录。
3. 配置方式决定全局性：由于这些是只读参数，且必须在所有节点的配置文件中统一设置，这本身就决定了其作用域是整个集群，无法针对单个用户进行差异化设置。

四、总结与操作要点

• 修改哪些参数：共需修改 7个参数，涵盖密码长度、复杂度、历史、有效期和登录锁定。
• 修改位置：必须同时在 GCluster 和 GNode 两个层的配置文件中添加。
• 生效范围：全局生效，影响集群内所有用户。
• 生效条件：修改配置文件后，必须重启集群服务。
• 验证方法：尝试创建一个简单密码的用户或使用旧密码登录，应被拒绝；修改为复杂密码后应能成功。