非通信加密的情况下,为了实现对登录用户名、密码的安全管理,达梦对登录消息中的用户名密码进行了增强加、解密处理。
具体实现分为四步:一是通过 dmkey 工具生成公钥文件和私钥文件。二是配置服务器参数,使用私钥对客户端发送过来的登录名和密码进行解密。三是配置客户端参数,使用公钥文件对登录用户名和密码进行加密。四,启动数据库服务器。
11.1 dmkey 工具的使用
dmkey 是一个 RSA 非对称加解密的公钥文件、私钥文件生成工具。公钥文件和私钥文件分别用于对登录消息中的用户名、密码进行加密和解密。
11.1.1 启动 dmkey
安装好 DM 数据库管理系统后,在安装目录的“bin”子目录下可找到 dmkey 执行文件。
启动操作系统的命令行窗口,进入“dmkey”所在目录,可以准备启动 dmkey 工具了。
dmkey 的使用需要指定必要的参数。为 dmkey 指定参数的格式为:
dmkey [ keyword=value[ keyword=value ...] ]
常见的使用搭配有两种:
一,生成公钥和私钥。
dmkey.exe PATH=path PUBKEY=pubkey
PATH:指定生成公钥和私钥的所在目录(缺省为 dmkey.exe 所在的目录);
PUBKEY:指定生成公钥的文件名(缺省为 dm_login.pubkey),私钥为固定文件名 dm_login.prikey。公钥文件为文本方式存储,私钥文件则为二进制存储。
例如:
>dmkey PATH=D:\aa pubkey=test.pubkey
DMKEY V8
generate public key file D:\aa\test.pubkey success!
generate private key file D:\aa\dm_login.prikey success!
二,显示私钥的相关信息(文件版本号、私钥 Guid、私钥的生成时间、dmkey 工具的版本号)。
该信息主要用于校验公钥、私钥是否匹配。同一套公钥文件、私钥文件的 Guid 一样的。文件版本号只有私钥文件有,公钥文件没有。
dmkey.exe PRIKEY=prikey
PRIKEY:私钥文件 dm_login.prikey 所在路径。
例如:
>dmkey PRIKEY=D:\aa\dm_login.prikey
DMKEY V8
File version : 0
Guid : 1C2CF0AAC51A4B7F507790C6992ED187
Generation time : 2023-08-15 17:00:29
Generation tool version: V8.1.3.26
11.1.2 查看 dmkey 参数
dmkey 使用较为灵活,参数较多,用户可以使用“dmkey help”查看 dmkey 版本信息以及各参数的简单信息。
./dmkey HELP
DMKEY V8
version: 05134284311-20240822-240257-10000
格式: ./dmkey [KEYWORD=value[ KEYWORD=value...]]
例程:
./dmkey path=/opt/dmdbms/data/DAMENG pubkey=dm_login.pubkey
./dmkey prikey=/opt/dmdbms/data/DAMENG/dm_login.prikey
关键字 说明
--------------------------------------------------------------------------------
PATH 生成公钥和私钥文件的目标目录
PUBKEY 要生成的公钥文件名,缺省为dm_login.pubkey
PRIKEY 要打印信息的私钥文件路径名
HELP 打印帮助信息
注意: 指定PRIKEY时仅打印所指私钥文件的相关信息,
否则生成公钥文件和名为dm_login.prikey的私钥文件
11.2 服务器端配置
首先,将私钥文件拷贝到 ini 参数 SYSTEM_PATH 指定的目录下。
其次,配置 INI 参数 FORCE_CERTIFICATE_ENCRYPTION=1,即非加密通讯的情况下,开启用户名密码强制证书加密。该参数有效值为 0、1,缺省值为 0,运行中无法更改。
该项配置成功后,启动数据库服务器时,服务器会对登录的用户名密码强制使用 SYSTEM_PATH 目录下的私钥文件进行解密。
11.3 客户端配置
客户端配置有两种方式:一种是通过 dm_svc.conf 文件进行配置,供所有用户使用;另一种是通过 DPI 进行配置,供 DPI 编程用户使用。使用 DPI 编程的用户可以使用第一种方式设置,也可以使用第二种方式设置,当两种方式不一致时,第二种方式优先。
11.3.1 dm_svc.conf
使用配置项 LOGIN_CERTIFICATE 指定登录加密用户名密码公钥所在的路径。该配置项可全局配置也可在某个服务名下配置,一旦配置即认为开启了客户端的证书加密用户名密码模式。
11.3.2 DPI
指定 con 上属性 DSQL_ATTR_LOGIN_CERTIFICATE,用于指定加密登录用户名密码的公钥所在的路径。该属性和 dm_svc.conf 中配置项 LOGIN_CERTIFICATE 功能一样。两者不一致时,DSQL_ATTR_LOGIN_CERTIFICATE 设置优先。
11.4 启动数据库服务器
全部配置完成后,启动数据库服务器。服务器启动时自动加载 SYSTEM_PATH 目录下的私钥文件,对登录的用户名密码使用私钥文件 dm_login.prikey 进行解密。
11.5 应用实例
下面通过一个具体的实例,展示如何配置登录用户名和密码的增强加、解密功能。
第一步,通过 dmkey 生成公钥文件、私钥文件。
>dmkey PATH=D:\DAMENG pubkey=test.pubkey
DMKEY V8
generate public key file D:\DAMENG\test.pubkey success!
generate private key file D:\DAMENG\dm_login.prikey success!
第二步,首先将私钥文件 dm_login.prikey 拷贝到数据库 SYSTEM PATH 目录下,然后配置服务器 ini 参数 FORCE_CERTIFICATE_ENCRYPTION=1。
第三步,配置 dm_svc.conf 文件的 LOGIN_CERTIFICATE 配置项,指定公钥文件所在位置。dm_svc.conf 文件内容如下:
TIME_ZONE=(480)
LANGUAGE=(cn)
LOGIN_CERTIFICATE=(D:\DAMENG\test.pubkey)
第四步,启动数据库服务器。
至此,配置完毕。
