安全版三权分立及密码限制

文档用途

便于了解HGDB安全版三权分立及修改密码限制

详细信息

1.三权分立：
瀚高数据库安全版具有相互独立、相互制约的数据管理员(sysdba)、安全保密管理员(syssso)和安全审计员(syssao)三个管理员角色。
数据管理员(sysdba)主要负责安装和升级瀚高安全数据库管理系统、配置瀚高安全数据库参数、创建数据库对象、数据库的备份和恢复（表级）。
安全保密管理员(syssso)主要负责用户权限设定（包含自主访问权限的分配）、安全策略配置管理、用户和表的安全标记配置。
安全审计员(syssao)主要负责对普通用户、系统管理员、安全审计员和安全保密管理员的操作行为进行审计。
2.安全版无法创建超级用户：

highgo=# create  user highgo superuser;

错误: can’t create with superuser
Highgo Database安全版中，将数据库超级管理员的权限进行了重新分配，拆分成了三部分，
安全版数据库默认的三个管理员用户中包含一个超级用户：sysdba，此超级用户只是名义上的超级用户，只拥有一般意义上的超级用户的部分权限。

highgo=# \du角色列表角色名称 |                    属性                     | 成员属于
----------+---------------------------------------------+----------sysdba   | 超级用户, 没有继承, 建立角色, 建立 DB, 复制+| {}| 密码有效直至2999-01-01 00:00:00+08          |syssao   | 没有继承                                   +| {}| 密码有效直至2999-01-01 00:00:00+08          |syssso   | 没有继承                                   +| {}| 密码有效直至2999-01-01 00:00:00+08          |

3.更改用户密码：
3.1系统安全员用户可以修改普通用户和自己的密码，但不能修改sysdba及syssao用户密码：

[root@localhost ~]# psql -U syssso -d highgo

用户 syssso 的口令：
注意:

-------------------------------------------
Login User: syssso
Login time: 2020-04-26 09:54:21.066331+08
Login Address: [local]
Last Login Status: SUCCESS
Login Failures: 0
Valied Until: 2999-01-01 00:00:00+08
-------------------------------------------
psql (4.3.4.5)
输入 "help" 来获取帮助信息.
highgo=> alter  user test with password 'UW3S2mvh';
ALTER ROLE
highgo=> alter  user sysdba with password 'B5gW6y3d';
错误:  权限不够
highgo=> alter  user syssao with password 'H47Fvjpa6';
错误:  权限不够

3.2 管理员用户密码只能由自己更改，例如修改sysdba账户密码，只能使用sysdba用户进行更改，其他用户无法进行更改。
3.3 如果忘记三个管理员的密码，由于管理员密码只能自己更改，所以忘记的密码会导致该用户无法登录，会影响使用，建议妥善保存管理员用户密码。