问题现象
最近openGauss6.0版本发布后,也想练练手。但是安装成功后,使用DBeaver连接数据库时报如下错误
[ ] FATAL: Invalid username/password,login denied.
问题定位与分析
当客户端报错提示Invalid username/password时,根据目前已有的经验,大概率是黑白名单pg_hba.conf的配置文件配置不正确或者输入的密码错误。
密码不正确
这种情况应该是我们遇到该问题的时候,首先应该检查输入是否正确。如果在不确认密码是否正确的时候,建议可以先修改密码,然后再测试是否可以正确连接数据库。
alter user test identified by 'openGauss@2024';
配置文件的问题
当我们在上一步确认密码正确的情况,我们可以在服务器端通过gsql指定用户名密码连接验证,看是否可以正常连接数据库。
[omm@openGauss dn]$ gsql -d testdb -p 15400 -Utest -WopenGauss@2024
gsql ((openGauss 6.0.0-RC1 build ed7f8e37) compiled at 2024-03-31 11:59:31 commit 0 last mr )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.
testdb=> \q
当服务器端可以正常连接,但是客户端通过DBeaver客户端连接的时候报Invalid username/password时,这个时候我们再来查看pg_hba.conf配置文件中新增的内容,前四项都没有任何的限制,目前只能猜测加密方式的问题。其实当时自己心里也没底,当时自己受PG的经验认知,openGauss是用PG的内核,应该也支持md5加密吧。通过查看openGauss的文档,password_encryption_type参数决定了采用何种加密方式对用户密码进行加密存储。默认值为2,即表示模式采用sha256方式对密码加密。这个时候我们再查看pg_hba.conf中参数配置项,发现新增的一条规则的METHOD,配置的是md5。再对METHOD参数修改为sha256后,客户端可以正常连接了。
host all all 0.0.0.0/0 sha256
修改password_encryption_type参数配置
我们可以修改password_encryption_type的参数值为1或0,这个时候我们配置md5,其实也是可以适用。
按照这个思路,修改password_encryption_type参数为1或0,且启动数据库后,由于未修改加密方式pg_hba.conf的METHOD参数,仍然为md5,执行reload命令使参数生效。
gs_guc reload -D /data/openGauss/install/data/dn -c "password_encryption_type=0"
但是在客户端测试连接的时候,仍然报Invalid username/password错误。刚开始以为是bug的,但是经过查看password_encryption_type的参数介绍,当修改改参数的配置不会自动触发已有用户密码加密方式的修改,只会影响新创建用户或修改用户密码操作。所以我们需要执行修改数据库用户命令,同时会有如下的提示。
openGauss=# alter user test identified by 'openGauss@0428';
NOTICE: The encrypted password contains MD5 ciphertext, which is not secure.
ALTER ROLE
当我们再次通过DBeaver连接数据库,可以正常使用。
问题总结
问题虽然解决了,但是回顾产生问题的原因,是由于自己根据PG对的pg_hba.conf规则配置的经验认为,以为两者相差不大,所以在未查阅文档的情况,按照经验配置为了md5。在这里只想说有时经验真的不靠谱啊!另外在最后,我们看一下password_encryption_type的详细介绍:
**参数说明:**该字段决定采用何种加密方式对用户密码进行加密存储。修改此参数的配置不会自动触发已有用户密码加密方式的修改,只会影响新创建用户或修改用户密码操作。
**取值范围:**0、1、2、3
0表示采用md5方式对密码加密。
1表示采用sha256和md5两种方式分别对密码加密。
2表示采用sha256方式对密码加密。
3表示采用sm3方式对密码加密
点击阅读原文跳转作者文章