DBeaver连接openGauss报错Invalid username/password问题排查

文摘   2024-09-26 18:01   广东  

问题现象

最近openGauss6.0版本发布后,也想练练手。但是安装成功后,使用DBeaver连接数据库时报如下错误

[192.168.181.1:62786/192.168.181.20:15400] FATAL: Invalid username/password,login denied.

问题定位与分析

当客户端报错提示Invalid username/password时,根据目前已有的经验,大概率是黑白名单pg_hba.conf的配置文件配置不正确或者输入的密码错误。

密码不正确

这种情况应该是我们遇到该问题的时候,首先应该检查输入是否正确。如果在不确认密码是否正确的时候,建议可以先修改密码,然后再测试是否可以正确连接数据库。

alter user test identified by 'openGauss@2024';

配置文件的问题

当我们在上一步确认密码正确的情况,我们可以在服务器端通过gsql指定用户名密码连接验证,看是否可以正常连接数据库。

[omm@openGauss dn]$ gsql  -d testdb -p 15400 -Utest -WopenGauss@2024gsql ((openGauss 6.0.0-RC1 build ed7f8e37) compiled at 2024-03-31 11:59:31 commit 0 last mr  )Non-SSL connection (SSL connection is recommended when requiring high-security)Type "help" for help.
testdb=> \q

当服务器端可以正常连接,但是客户端通过DBeaver客户端连接的时候报Invalid username/password时,这个时候我们再来查看pg_hba.conf配置文件中新增的内容,前四项都没有任何的限制,目前只能猜测加密方式的问题。其实当时自己心里也没底,当时自己受PG的经验认知,openGauss是用PG的内核,应该也支持md5加密吧。通过查看openGauss的文档,password_encryption_type参数决定了采用何种加密方式对用户密码进行加密存储。默认值为2,即表示模式采用sha256方式对密码加密。这个时候我们再查看pg_hba.conf中参数配置项,发现新增的一条规则的METHOD,配置的是md5。再对METHOD参数修改为sha256后,客户端可以正常连接了。

host    all             all          0.0.0.0/0             sha256

修改password_encryption_type参数配置

我们可以修改password_encryption_type的参数值为1或0,这个时候我们配置md5,其实也是可以适用。

按照这个思路,修改password_encryption_type参数为1或0,且启动数据库后,由于未修改加密方式pg_hba.conf的METHOD参数,仍然为md5,执行reload命令使参数生效。

gs_guc reload -D /data/openGauss/install/data/dn -c "password_encryption_type=0"

但是在客户端测试连接的时候,仍然报Invalid username/password错误。刚开始以为是bug的,但是经过查看password_encryption_type的参数介绍,当修改改参数的配置不会自动触发已有用户密码加密方式的修改,只会影响新创建用户或修改用户密码操作。所以我们需要执行修改数据库用户命令,同时会有如下的提示。

openGauss=# alter user test identified by 'openGauss@0428';NOTICE:  The encrypted password contains MD5 ciphertext, which is not secure.ALTER ROLE

当我们再次通过DBeaver连接数据库,可以正常使用。

问题总结

问题虽然解决了,但是回顾产生问题的原因,是由于自己根据PG对的pg_hba.conf规则配置的经验认为,以为两者相差不大,所以在未查阅文档的情况,按照经验配置为了md5。在这里只想说有时经验真的不靠谱啊!另外在最后,我们看一下password_encryption_type的详细介绍:

**参数说明:**该字段决定采用何种加密方式对用户密码进行加密存储。修改此参数的配置不会自动触发已有用户密码加密方式的修改,只会影响新创建用户或修改用户密码操作。

**取值范围:**0、1、2、3

  • 0表示采用md5方式对密码加密。

  • 1表示采用sha256和md5两种方式分别对密码加密。

  • 2表示采用sha256方式对密码加密。

  • 3表示采用sm3方式对密码加密


点击阅读原文跳转作者文章


openGauss
开源关系型数据库
 最新文章