开启/关闭双因素认证功能

YashanDB默认不开启双因素认证功能，如需使用该功能，请联系我们的技术支持处理。

为用户开通双因素认证

开启双因素认证功能后，如需为某个数据库用户开启双因素认证，需确保该用户是DBA、SECURITY_ADMIN或AUDIT_ADMIN角色之一。

步骤1：初始化UKEY

本文以使用yaspwd工具为例，实际操作中可自行选择合适的工具。

1. 以数据库安装用户登录数据库所在服务器。

2. 在该服务器的USB口插入一个UKEY，且需确保服务器上仅有一个UKEY。

3. 根据用户角色选择对应的yaspwd命令初始化UKEY。

   用户角色只能为DBA、SECURITY_ADMIN或AUDIT_ADMIN，且不能选错。

   # 用户为DBA数据库管理员
   $ yaspwd ukey_role=DBA
   
   # 用户为SECURITY_ADMIN安全员
   $ yaspwd ukey_role=SECURITY_ADMIN
   
   # 用户为AUDIT_ADMIN审计员
   $ yaspwd ukey_role=AUDIT_ADMIN
   

4. 根据提示输入上述UKEY的数据设备认证码和admin密码、数据库用户的登录密码，完成初始化并生成公钥文件。

   # 下述文件及存储路径仅为示例，请以实际为准
   # 用户为DBA数据库管理员，其公钥文件为：
   $YASDB_HOME/bin/dba.pub
   
   # 用户为SECURITY_ADMIN安全员，其公钥文件为：
   $YASDB_HOME/bin/security_admin.pub
   
   # 用户为AUDIT_ADMIN审计员，其公钥文件为：
   $YASDB_HOME/bin/audit_admin.pub
   

   Note:

   如果是多台服务器的数据库环境，应手动将对应的公钥文件拷贝至每台服务器的相同路径下。

步骤2：配置公钥

1. 以具备ALTER SYSTEM权限的用户登录数据库。

2. 执行ALTER SYSTEM SET PARAMETER语句更新对应的公钥文件路径。

   -- 本文仅为示例，公钥文件路径应使用标准的路径格式
   -- 若为存算一体分布式集群部署，还需指定TYPE = ALL
   
   -- 用户为DBA数据库管理员
   ALTER SYSTEM SET UKEY_DBA_PUBLIC_KEY_FILE=$YASDB_HOME/bin/dba.pub;
   
   -- 用户为SECURITY_ADMIN安全员
   ALTER SYSTEM SET UKEY_SECURITY_ADMIN_PUBLIC_KEY_FILE=$YASDB_HOME/bin/security_admin.pub;
   
   -- 用户为AUDIT_ADMIN审计员
   ALTER SYSTEM SET UKEY_AUDIT_ADMIN_PUBLIC_KEY_FILE=$YASDB_HOME/bin/audit_admin.pub;
   

3. 重启数据库使配置生效。