17. Ротация паролей СУБД

17.1. Описание концепции

Для управления консистентной ротацией паролей СУБД и связанных с СУБД настроек инсталляций приложений в рамках услуги (Витрины данных НСУД) в Datamart Platform Studio реализован механизм ротации паролей в меню услуги.

Пункт меню ротации паролей СУБД подключается автоматически при добавлении в услугу инсталляции или кластера СУБД следующих типов:

  • Инсталляция СУБД Pangolin standalone;

  • Кластеры Pangolin Cluster DB;

Примечание

Если в бандле у соответствующего приложения нет плэйбуков ротации Datamart Platform Studio во вкладке ротации отобразит сообщение о необходимости обновления.

Имя пользователя СУБД, для которого выполняется ротация в соответствующих инсталляциях отображается в колонке «Пользователь». Имя инсталляции или кластера СУБД отображается родительской строкой в таблице, а связанные с ней инсталляции дочерними строками.

Привязка и отображение связанных инсталляций во вкладке ротации паролей производится автоматически на основании существующих связей интерфейсов при включении опции ротации. Действие «Обновить список» проверяет связи и если произошли какие-то изменения с момента последней привязки, перестраивает список.

Вкладка ротации паролей в услуге

Рисунок 17.1 Вкладка ротации паролей в услуге

17.1.1. Общие положения

  • Ротация паролей производится единовременно для группы пользователей, список которых указан в настройках приложения СУБД;

  • Ротация может выполняться как вручную, так и по расписанию;

  • В исключительных случаях может выполнятся ротация пароля для 1-го пользователя СУБД, это действие никак не влияет на общее расписание ротации;

  • При ротации пароля пользователя СУБД выполняется автоматическая ротация настройки пароля для связанных приложений в следующей последовательности:

    • остановка ((выполнение плэйбука stop) связанных с СУБД инсталляций;

    • ротация всех паролей у СУБД;

    • изменение настроек у связанных приложений;

    • применение настроек (выполнение плэйбука bind) для связанных инсталляций;

17.2. Предварительная настройка

Перед выполнением ротации требуется:

  • Включить опцию ротации для приложения (включается настройка Pangolin rotate_password.enable = true и выполняется плэйбук подключения опции ротации)

  • Настроить список пользователей, для которых будет выполняться ротация (редактирование настройки rotate_password.valid_roles и выполняется плэйбук применения настроек). Список пользователей требуется указать через запятую.

17.3. Выполнение ротации

Для консистентного выполнения ротации паролей СУБД Pangolin требуется выполнить следующие шаги:

Шаг 1: Остановить связанные инсталляции (выполнить плэйбук stop). Шаг 2: Выполнить ротацию паролей СУБД для всех указанных в настройке пользователей (в процессе ротации будут также обновлены настройки паролей у связанных инсталляций). Шаг 3: Выполнить применение настроек (плэйбук bind) у связанных инсталляций.

Примечание

Остановка всех связанных инсталляций выполняется автоматически перед выполнением плэйбука ротации пароля СУБД. При выборе опции «Выполнить ротацию и применить настройки» плэйбуки bind выполняются автоматически после ротации паролей СУБД.

Выполнение ротации паролей

Рисунок 17.2 Выполнение ротации паролей

Диалоговое окно ротации паролей

Рисунок 17.3 Диалоговое окно ротации паролей

В случае, если проведена ротация паролей без автоматического применения настроек связанных инсталляций, следует выполнить применение настроек отдельно.

Применение настроек для связанной инсталляции

Рисунок 17.4 Применение настроек для связанной инсталляции

После выполнения ротации содержание настройки пароля будет обновлено. Для просмотра пароля необходимо выполнить действие «Отобразить пароль». Разрешение на отображение содержимого настройки с паролем предоставляется только для ролей с правами просмотра паролей.

Отображение пароля после ротации

Рисунок 17.5 Отображение пароля после ротации

В случае несоответствия настройки пароля у СУБД и связанной инсталляции, настройка пароля подсвечивается, как ошибочная.

В случае возникновения ошибки в процессе ротации для отдельного пользователя можно выполнить ротацию пароля только для этого пользователя выбрав в соответствующей строке действие «Ротировать». Пароли связанных инсталляций будут обновлены, соответственно.

Ротация пароля для отдельного пользователя не влияет на расписание ротации.

17.4. Настройка расписания ротации

Перед выполнением ротации по расписанию требуется настроить расписание ротации. После того

Примечание

Расписание ротации доступно для инсталляций, у которых включена ротация (настройка rotate_password.enable = true).

В поле «Дата следующей ротации» требуется ввести дату и время, когда должна произойти ротация по расписанию.

В поле «Интервал (дней)» вводится количество дней, которе используется для вычисления даты последующей ротации. Например, если в поле «Дата следующей ротации» указано «25.04.2025 00:00», а в поле «Интервал (дней)» указано 30, то после выполнения успешной ротации 25.04 следующая ротация по расписаню будет назначена на «25.05.2025 00:00». Если в поле «Интервал (дней)» указано 0, то ротация по расписанию отключена.

Примечание

В случае выполнения ротации паролей вручную, дата следующей ротации по расписанию будет автоматически сдвинута от даты вполнения ротации на количество дней в поле «Интервал (дней)».

Настройка расписания ротации

Рисунок 17.6 Настройка расписания ротации