Перейти к основному содержимому

Конфигурационные параметры

Параметры парольных политик

В данном разделе более подробно описаны параметры механизма парольных политик.

ПараметрОписаниеТипPOSIX шаблонЗначение по умолчаниюАналог в pg_pp_policy
password_policy.policy_enableВключение/выключение парольной политикиbooleanon/offonpolicyenable
password_policy.deny_defaultВключение/выключение использования настроек из postgresql.confbooleanon/offoff-
password_policy.psql_encrypt_passwordЗасекречивание пароля при передаче от клиента к БДbooleanon/off--
password_policy.deduplicate_ssl_no_ssl_fail_auth_attemptsВключение механизма исключения повторных попыток подключения psqlbooleanon/offon-
password_policy.allow_hashed_passwordРазрешить задание пароля в виде хешаbooleanon/offoff-

Настройка хранения паролей

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.reuse_timeВремя в секундах, в течение которого старый пароль сохраняется, и попытка сменить пароль на совпадающий со старым заканчивается ошибкойstring\d+ sнеотрицательное365 days-reusetime
password_policy.in_historyМаксимальное количество сохраненных старых паролейinteger[0-1000]0-100040 – Проверка на совпадение пароля с ранее использованным не проводится (при условии reuse_time = 0)inhistory
примечание

Если задан параметр password_policy.reuse_time, то параметр password_policy.in_history не используется.

Время жизни пароля

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.max_ageВремя жизни пароля в секундахstring\d+ sнеотрицательное00 – Проверка максимального времени жизни пароля не производитсяmaxage
password_policy.min_ageМинимальное время между изменениями пароляstring\d+ sнеотрицательное00 – Проверка максимального времени жизни пароля не производитсяminage
password_policy.grace_login_limitМаксимальное количество аутентификаций после истечения срока действия пароляinteger[0-1000]0-10000-graceloginlimit
password_policy.grace_login_time_limitВремя, в течение которого пароль остается рабочим после окончания срока его действияstring\d+ sнеотрицательное3 days0 – аутентификация не доступна по истечении времени жизни пароляgracelogintimelimit
password_policy.expire_warningВремя до истечения пароля, при котором выводится предупреждениеstring\d+ sнеотрицательное7 days0 – не выводит предупреждениеexpirewarning

Поведение при неудачной аутентификации

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.lockoutБлокировка аккаунта при достижении максимума неверных попыток аутентификацииbooleanon/offon/offon-lockout
password_policy.max_failureМаксимальное количество неверных попыток аутентификацииinteger[1-1000]1-10006-maxfailure
password_policy.failure_count_intervalВремя, после которого количество неверных попыток сбрасываетсяstring\d+ s>= 000 – счетчик не обнуляетсяfailurecountinterval
password_policy.lockout_durationВремя блокировки аккаунтаstring\d+ sнеотрицательное24 hours0 – блокировка пользователя по количеству неудачных аутентификаций бессрочнаlockoutduration

Синтаксические проверки пароля

ПараметрОписаниеТипОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.check_syntaxВключение синтаксической проверки пароляbooleanon/offonchecksyntax
password_policy.alpha_numericМинимальное количество цифр в паролеinteger0-100030 – не проверятьalphanumeric
password_policy.min_lengthМинимальная длина пароляinteger0-1000160 – не проверятьminlength
password_policy.min_alpha_charsМинимальное количество букв в паролеinteger0-100000 – не проверятьminalphachars
password_policy.min_special_charsМинимальное количество специальных символовinteger0-100000 – не проверятьminspecialchars
password_policy.min_uppercaseМинимальное количество прописных буквinteger0-100010 – не проверятьminuppercase
password_policy.min_lowercaseМинимальное количество строчных буквinteger0-100000 – не проверятьminlowercase
password_policy.max_rpt_charsМаксимальное количество повторяющихся символовinteger0-100000 – не проверятьmaxrptchars

Проверка максимального времени неактивности пользователя

ПараметрОписаниеТипОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.track_loginЗапоминать ли время последней аутентификацииbooleanon/offofftracklogin
password_policy.max_inactivityВремя последней аутентификации, после которого аккаунт блокируетсяstringнеотрицательное00 – функциональность отключенаmaxinactivity

Использование библиотеки zxcvbn

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюАналог в pg_pp_policy
password_policy.use_password_strength_estimatorВключение использования библиотеки zxcvbn для оценки сложности пароляbooleanon/offon/offonusepasswordstrengthestimator
password_policy.password_strength_estimator_scoreМинимальная оценка сложности пароляinteger[0-4]0-43passwordstrengthestimatorscore

Использование пользовательской функции проверки пароля

ПараметрОписаниеТипPOSIX шаблонЗначение по умолчаниюАналог в pg_pp_policy
password_policy.custom_functionПользовательская функция проверки пароляstring[\w\d]+-customfunction

Проверка вхождения пароля в черный список

ПараметрОписаниеТипОграничение значенияЗначение по умолчаниюАналог в pg_pp_policy
password_policy.illegal_valuesПроверка, что пароль не входит в список часто используемыхbooleanon/offonillegalvalues

Настройка кеширования

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюАналог в pg_pp_policy
password_policy.pp_cache_dump_intervalИнтервал сохранения данных кеша на дискinteger\d+1 - до максимального значения int в системе10-
password_policy.pp_cache_init_sizeРазмер инициализированного кеша парольных политикinteger\d+1 - до максимального значения int в системе10-
password_policy.pp_cache_soft_max_sizeПредполагаемый максимальный размер кешаinteger\d+1 - до максимального значения int в системе60-
password_policy.pp_cache_max_sizeОграничение сверху на размер кешаinteger\d+1 - до максимального значения int в системе1000-

Параметры управления транспортными паролями

ПараметрОписаниеТипЗначение по умолчаниюАналог в pg_pp_policy
password_policy.transport_password_mark_automaticПри значении true пароль становится транспортным автоматически при смене другим пользователем.
При значении false пароль отмечается транспортным вручную		booleanfalse-
transport_password_life_timeОпределяет время жизни транспортного пароляstring0transportpasswordlifetime
password_policy.is_temp_tuz_passwordОпределяет тип пароля (транспортный или нет) для указанных ТУЗbooleantrue-

Параметры аудита

Основной параметр (pgaudit.log)

Настраиваемый параметр конфигурации pgaudit.log указывает, какие классы операторов, событий, функций и команд будут регистрироваться при ведении журнала аудита сессии. Возможные значения:

  • READ: SELECTи COPY, если источник — отношение или запрос;
  • WRITE: INSERT, UPDATE, DELETE, TRUNCATE, и COPY, если цель — отношение;
  • FUNCTION: вызовы функций и блоки DO;
  • ROLE: операторы, связанные с ролями и привилегиями: GRANT, REVOKE, CREATE/ALTER/DROP ROLE;
  • DDL: все DDL, не входящие в класс ROLE;
  • MISC: прочие команды, включая DISCARD, FETCH, CHECKPOINT, VACUUM, SET;
  • MISC_SET: прочие команды SET, включая SET ROLE;
  • CONNECTION: события, связанные с подключением к серверу. Существуют 4 типа таких событий: OPEN, CLOSED, FAILED, CHANGE USER. Событие FAILED регистрируется в случае неудачной попытки аутентификации по паролю и независимо от значения pgaudit.log;
  • PROTECTION: функции настройки механизма защиты от привилегированных пользователей;
  • RECOVERY: события восстановления базы данных;
  • INTEGRITY: события нарушения целостности объектов контроля;
  • ACTION: события запуска/остановки базы данных с причиной остановки;
  • PARAMETER: события изменения конфигурации системы управления базами данных;
  • ALL: включить все вышеперечисленное.

Значение по умолчанию - ddl, role, connection, misc_set, protection.

Для применения измененного значения данного параметра необходимо перечитать конфигурацию. Для добавления новых классов событий необходимо включить параметр pgaudit.legal.

Можно включить несколько классов, перечислив их через запятую, или исключить определенные классы, поставив перед ними знак -. С примером можно ознакомиться в подразделе «Ведение журнала аудита сессии» раздела «Журналирование и аудит» документа «Администрирование функциональностей».

Дополнительные параметры

Конфигурационные параметры аудита

Параметр

Описание

Тип

Значение

pgaudit.legal

Включение/отключение расширенных возможностей аудита: запись логов аудита в отдельный файл, регистрация дополнительных событий аудита, использование нового формата событий аудита.

Для активации указанных в таблице параметров аудита (и добавления в pgaudit.log новых классов событий) необходимо включить данный параметр (pgaudit.legal = on)

boolean

Параметр может быть установлен в значения on/off, применяется при перезапуске сервера.

Значение по умолчанию - off

pgaudit.log_syslog

Включение/отключение записи логов аудита в системный журнал при включенной записи в файл

boolean

По умолчанию - off

pgaudit.log_directory

Путь к каталогу для сохранения файлов аудита. Это может быть абсолютный путь или заданный относительно каталога данных ($PGDATA)

string

Значение по умолчанию - audit

Файлы аудита будут созданы в каталоге $PGDATA/audit

pgaudit.log_filename

Используемый шаблон имен файлов для журналов событий

string

Шаблон может содержать спецпоследовательности, определяющие временную метку, которые начинаются со знака %.

Значение по умолчанию audit-%Y-%m-%d_%H%M%S.log

pgaudit.log_rotation_size

Максимальный размер файла CSV-журнала в килобайтах. При достижении установленного лимита для записи событий безопасности создается новый файл

integer

Если параметр равен 0, новый файл в зависимости от размера текущего создаваться не будет.

Значение по умолчанию 10240 (10 Мб)

pgaudit.log_rotation_age

Максимальное время жизни файла журнала в минутах. По истечении этого времени создается новый файл для записи событий безопасности

integer

Если параметр равен 0, создание новых файлов журналов по времени отключается.

Значение по умолчанию - 1440

pgaudit.log_truncate_on_rotation

Определяет, должны ли усекаться файлы журналов при переключении записи на уже существующий файл журнала.

Параметр учитывается только при ротации по времени. В остальных случаях запись всегда продолжается в конец файла

boolean

Если значение параметра off, запись продолжается в конец файла.

Значение по умолчанию - off

pgaudit.log_file_mode

Определяет права на файл аудита при создании и задается в восьмеричном виде

integer

Значение по умолчанию - 0600

pgaudit.log_recovery

Параметр включает или отключает обработку фатальных ошибок, которые могут возникнуть при работе с файлами аудита

boolean

Значение по умолчанию - off

pgaudit.log_catalog

Указывает, должно ли быть включено ведение журнала сессии в том случае, если все отношения в операторе находятся в pg_catalog. Отключение этого параметра уменьшит шум в журнале от таких инструментов, как psql и pgAdmin, которые часто обращаются к каталогу

boolean

Значение по умолчанию - on

pgaudit.log_client

Указывает, будут ли сообщения журнала видны клиентскому процессу, такому как psql. Этот параметр обычно следует оставить отключенным, но он может быть полезен для отладки или других целей

boolean

pgaudit.log_client активен только тогда, когда значение pgaudit.log_level задано.

Значение по умолчанию - off

pgaudit.log_level

Указывает уровень журналирования, который будет использоваться для записей журнала (см. «Уровни важности сообщений»). Обратите внимание, что значения ERROR, FATAL и PANIC не допускаются.

Этот параметр используется для регрессионного тестирования, а также может быть полезен конечным пользователям для тестирования или других целей

string

Значениеpgaudit.log_level используется только тогда, когда pgaudit.log_client включен;
в противном случае будет использоваться значение по умолчанию.

Значение по умолчанию - log

pgaudit.log_parameter

Указывает, что ведение журнала аудита должно включать параметры, переданные вместе с оператором. При наличии параметров они будут включены в формате CSV после текста оператора

boolean

Значение по умолчанию - off

pgaudit.log_relation

Указывает, должно ли ведение журнала аудита сессии создавать отдельную запись журнала для каждого отношения (TABLE, VIEW и т.д.), на которое ссылается оператор SELECT или DML. Это полезный прием для исчерпывающего ведения журнала без использования журнала аудита объектов

boolean

Значение по умолчанию - off

pgaudit.log_rows

Указывает, что журнал аудита должен включать количество строк, извлеченных или затронутых оператором.

При включении (on) поле строк будет указан после поля параметра (при pgaudit.log_parameter = on)

boolean

Значение по умолчанию - off

pgaudit.log_statement

Указывает, будет ли в журнал аудита включаться текст запроса и параметры (если это разрешено). В зависимости от требований журнал аудита может не нуждаться в этом, и это делает журналы менее подробными

boolean

Значение по умолчанию - on

pgaudit.log_statement_once

Указывает, будут ли текст и параметры оператора прикрепляться к первой записи в журнале для комбинации оператора и вложенных операторов или к каждой записи.

Отключение этого параметра приведет к менее подробному ведению журнала, но может затруднить определение оператора, сгенерировавшего запись журнала, хотя пары оператора и вложенного оператора вместе с идентификатором процесса должно быть достаточно для идентификации текста оператора, записанного в предыдущей записи

boolean

Значение по умолчанию - off

pgaudit.role

Указывает главную роль, используемую для ведения журнала аудита объектов. Можно определить несколько ролей аудита, закрепив их главной роли. Это позволяет нескольким группам отвечать за различные аспекты ведения журнала аудита

string

Значение по умолчанию отсутствует

Параметры системного лога

Префикс строки системного журнала

Для добавления других полей, необходимых для удовлетворения требований к системному журналу логов, используйте префикс строки log_line_prefix:

СпецсимволНазначениеТолько для пользовательского процесса
%aИмя приложения (application_name)да
%uИмя пользователяда
%dИмя базы данныхда
%rИмя удаленного узла или IP-адрес, а также номер портада
%hИмя удаленного узла или IP-адресда
%pИдентификатор процессанет
%tШтамп времени, без миллисекунднет
%mШтамп времени, с миллисекундаминет
%nШтамп времени, с миллисекундами (в виде времени Unix)нет
%iТег команды: тип текущей команды в сессиида
%eКод ошибки SQLSTATEнет
%cИдентификатор сессиинет
%lНомер строки журнала для каждой сессии или процесса. Начинается с 1нет
%sШтамп времени начала процессанет
%vИдентификатор виртуальной транзакции (backendID/localXID)нет
%xИдентификатор транзакции (0 если не присвоен)нет
%qНичего не выводит. Непользовательские процессы останавливаются в этой точке. Игнорируется пользовательскими процессаминет
%%Выводит %нет

Пример префикса строки журнала: "%m %u %d \[%p\]:" - включить дату/время, имя пользователя, имя базы данных и идентификатор процесса для каждой записи журнала аудита.

В качестве идентификатора используется UUIDv4 (формируется случайным образом). Для получения идентификатора используется функция gen_random_uuid. Формат идентификатора:

xxxxxxxxxxxxMxxxNxxxxxxxxxxxxxxx
Значения на позициях M и N определяют соответственно версию и вариант UUID

Параметры обфускации данных

Параметр

Значение по умолчанию

Описание

anon.algorithm

sha256

Алгоритм хеширования, применяемый методом псевдонимизации.
Поддерживаются md5, sha1, sha224, sha256, sha384 и sha512

anon.allow_constraints_masking

false

Флаг, допускающий обфускацию для атрибутов, входящих в ограничение целостности

anon.default_locale

en_US

Локаль инициализации таблиц подстановок, применяемых в методах фальсификации и псевдонимизации

anon.k_anonymity_provider

k_anonymity

Имя SECURITY PROVIDER, используемого для метода K-Anonimity

anon.masking_policies

anon

Схема БД, используемая расширением обфускации данных и содержащая таблицы и функции подстановок

anon.maskschema

mask

Схема БД, используемая для генерации анонимизированных данных

anon.privacy_by_default

off

Выбор стратегии маскирования атрибутов, не имеющих метки SECURITY LABEL. При включении параметра — для всех атрибутов, имеющих значения по умолчанию — будут использоваться они. Для атрибутов, допускающих NULL — подставлен NULL

anon.restrict_to_trusted_schemas

on

Признак использования функций маскирования, расположенных только в схемах с атрибутом TRUSTED

anon.salt

Отсутствует

Соль, используемая для метода псевдонимизации

anon.sourceschema

public

Схема БД по умолчанию, содержащая исходные данные. В случае использования нескольких схем — каждая из них должна быть помечена атрибутом TRUSTED

anon.strict_mode

on

Требования соответствия типа подстановочного значения типу исходного значения

anon.transparent_dynamic_masking

off

Режим динамического маскирования

Настроечные параметры KMS

Настроечные параметры, управляемые администраторами безопасности через KMS в режиме защищенного конфигурирования.

ПараметрГде ведетсяЗначение по умолчанию
allowed_serversKMSПустая строка
pg_ident_conf (локально файл pg_ident.conf)Должны совпадать на KMS и локальноNULL
is_tde_onKMSoff
psql_encrypt_passwordKMSoff
enabled_extra_auth_methodsKMSПустая строка
enabled_sec_admin_extra_auth_methodsKMSПустая строка
encrypt_new_tablespacesKMSddl
masking_modeKMSdisabled
password_encryptionKMSmd5
password_policy.alpha_numericKMS1
password_policy.allow_hashed_passwordKMSoff
password_policy.check_syntaxKMSon
password_policy.custom_functionKMSПустая строка
password_policy.deny_defaultKMSoff
password_policies_enableKMSoff
password_policy.expire_warningKMS7 days
password_policy.failure_count_intervalKMS0
password_policy.grace_login_limitKMS5
password_policy.grace_login_time_limitKMS0
password_policy.illegal_valuesKMSoff
password_policy.in_historyKMS0
password_policy.lockoutKMSon
password_policy.lockout_durationKMS24 hours
password_policy.min_ageKMS0
password_policy.max_ageKMS120 days
password_policy.max_failureKMS10
password_policy.max_inactivityKMS0
password_policy.max_rpt_charsKMS0
password_policy.min_alpha_charsKMS0
password_policy.min_lengthKMS5
password_policy.min_lowercaseKMS0
password_policy.min_special_charsKMS0
password_policy.min_uppercaseKMS0
password_policy.password_strength_estimator_scoreKMS3
password_policy.reuse_timeKMS0
password_policy.track_loginKMSoff
password_policy.transport_password_life_timeKMS0
password_policy.transport_password_mark_automaticKMSoff
password_policy.use_password_strength_estimatorKMSoff
performance_insights.maskingKMSon
sec_admin_default_authKMSscram-sha-256
secure_configKMSДолжно быть явно задано при настроенном подключении к KMS.
Отсутствие значения является ошибкой.
При значении on защищенные параметры считываются с KMS.
При значении off защищенные параметры считываются из локальных файлов
sslKMSoff

Параметры автоочистки

Общие параметры настройки автоочистки

ПараметрОписаниеТипЗначение по умолчаниюОграничение значенияСпециальные значения параметров
autovacuumВключает процесс автоочисткиboolon--
autovacuum_naptimeИнтервал в секундах между запусками автоочисткиint601 - 2147483 (0x7FFFFFFF/1000)-
autovacuum_max_workersМаксимальное количество одновременно запущенных процессов автоочисткиint31 - 262143 (0x7FFFF)-
autovacuum_work_memМаксимальное количество используемой памяти в килобайтах для каждого процесса автоочисткиint-1-1 - 2147483647 (0x7FFFFFFF)-1 - Использование значения maintenance_work_mem
log_autovacuum_min_durationМинимальное время исполнения автоочистки в миллисекундах для вывода логов автоочисткиint600000-1 - 2147483647 (0x7FFFFFFF)0- Выводить все;
-1 - Логи отключены

Параметры условий запуска автоочистки

ПараметрОписаниеТипЗначение по умолчаниюОграничение значенияСпециальные значения параметров
autovacuum_vacuum_thresholdМинимальное количество измененных строк (UDPATE или DELETE) для запуска автоочисткиint500 - 2147483647 (0x7FFFFFFF)-
autovacuum_vacuum_scale_factorМножитель к количеству строк в таблице применительно к autovacuum_vacuum_thresholdreal0.20.0 - 100.0-
autovacuum_vacuum_insert_thresholdМинимальное количество добавленных строк (INSERT) для запуска автоочисткиint1000-1 - 2147483647 (0x7FFFFFFF)-1 - Отключить автоочистку из-за добавления строк
autovacuum_vacuum_insert_scale_factorМножитель к количеству строк в таблице применительно к autovacuum_vacuum_insert_thresholdreal0.20.0 - 100.0-
autovacuum_analyze_thresholdМинимальное количество операций со строками (INSERT, UPDATE, DELETE) для обновления статистикиint500 - 2147483647 (0x7FFFFFFF)-
autovacuum_analyze_scale_factorМножитель к количеству строк в таблице применительно к autovacuum_analyze_thresholdreal0.10.0 - 100.0-

Параметры заморозки строк и таблиц

ПараметрОписаниеТипЗначение по умолчаниюОграничение значенияСпециальные значения параметров
vacuum_freeze_min_ageВозраст строк для заморозки при автоочисткеint64500000000 - 0x7FFFFFFFFFFFFFFF-
vacuum_multixact_freeze_min_ageВозраст строк для заморозки MultiXactIdint64500000000 - 0x7FFFFFFFFFFFFFFF-
vacuum_freeze_table_ageВозраст таблицы для сканирования всей таблицы и заморозки всех строк (агрессивная автоочистка)int641500000000 - 0x7FFFFFFFFFFFFFFF-
vacuum_multixact_freeze_table_ageВозраст мультитранзакций для агрессивной автоочисткиint641500000000 - 0x7FFFFFFFFFFFFFFF-
autovacuum_freeze_max_ageВозраст для агрессивной автоочистки от переполнения xid («to prevent wraparound»)int6410000000000100000 - 0x7FFFFFFFFFFFFFFF-
autovacuum_multixact_freeze_max_ageВозраст мультитранзакций для агрессивной автоочистки от переполнения MultiXact («to prevent wraparound»)int642000000000010000 - 0x7FFFFFFFFFFFFFFF-

Параметры для 32-битных счетчиков

ПараметрОписаниеТипЗначение по умолчаниюОграничение значенияСпециальные значения параметров
vacuum_multixact_failsafe_ageВозраст мультитранзакций для аварийной агрессивной автоочистки от переполнения MultiXact («to prevent wraparound»)int16000000000 - 2100000000-
vacuum_failsafe_ageВозраст для аварийной агрессивной автоочистки от переполнения xid («to prevent wraparound»)int16000000000 - 2100000000-

Параметры сквозной аутентификации

Настроить сквозную аутентификацию в СУБД Pangolin можно с помощью конфигурационных параметров, описанных в данном разделе.

Сведения

Дополнительно, для настройки механизма сквозной аутентификации, потребуется реализация настроек в конфигурации приложения Pangolin Pooler.

Параметры аутентификации:

Параметр

Описание

Значение

authentication_proxy (integer)

Параметр включает/выключает режим сквозной аутентификации

Возможные значения:

  • 0 — режим сквозной аутентификации выключен, не позволяет выполнять аутентификацию пользователей конкретной БД в отдельном потоке (значение по умолчанию);
  • 1 — режим сквозной аутентификации включен, позволяет выполнять аутентификацию пользователей конкретной БД в отдельном потоке

authentication_max_workers (integer)

Параметр определяет максимальное число одновременных подключений для выполнения аутентификации пользователей

Значение по умолчанию 16. При значении, равном 0, сквозная аутентификация выполняться не будет.

Параметр authentication_max_workers можно задать только при запуске сервера

auth_handshake_timeout (integer)

Параметр определяет максимальное время, за которое должно произойти подтверждение аутентификации (в секундах). Если потенциальный клиент не сможет выполнить подтверждение аутентификации (рукопожатие) за это время, сервер закроет соединение

Значение по умолчанию 10 секунд

auth_activity_period (integer)

Параметр определяет период активности аутентификации (в секундах). Это время, в течение которого ранее аутентифицированный клиент при подключении с идентичными параметрами (тип соединения, адрес клиента, база данных и имя пользователя), выполнит аутентификацию по token

Значение по умолчанию 60

Значение передается на Pangolin Pooler и используется для проведения более быстрой аутентификации. Возможные значения:

  • -1 — не используется период активности аутентификации;
  • 0 — период активности аутентификации не имеет ограничений по времени;
  • > 0 — имеет ограничение по времени

auth_idle_period (integer)

Параметр определяет период простоя процесса сквозной аутентификации (в секундах). Отсчет периода начинается после обработки последнего полученного пакета. После окончания периода будет проверено, нужно ли продолжать работу процесса сквозной аутентификации. Процесс будет прерван, если связанной с ним базы данных нет, или она была удалена или переименована

Значение по умолчанию 60

auth_ete_cache_size (integet)

Параметр определяет размер кеша ключей засекречивания токенов аутентификации. При достижении максимального значения из кеша удаляется самая редко используемая запись.

Значение по умолчанию 1024.

Параметр auth_ete_cache_size можно задать только при запуске сервера

примечание

Не рекомендуется выставлять значение auth_activity_period = 0, так как его нельзя сбросить в Pangolin Pooler без перезагрузки. Выставляемого значения должно хватить, чтобы запустить пул соединений между Pangolin Pooler и Pangolin DBMS.

Параметры подключений:

Параметр

Описание

Значение

authentication_port (integer)

TCP-порт, открываемый сервером для выполнения аутентификации пользователей

По умолчанию порт — 5433.

Параметр authentication_port (integer) можно задать только при запуске сервера

Параметры подготовленных запросов

В СУБД Pangolin реализованы следующие параметры для поддержки подготовленных запросов.

Параметр

Тип

Описание

Ограничение значения

Значение по умолчанию

shared_prepared_statements

boolean

Управляет включением/выключением функциональности разделяемых подготовленных запросов

on/off

off

max_client_sessions

integer

Максимальное количество клиентских сессий.

Рекомендуется устанавливать с двухкратным запасом для демпфирования асинхронности удаления данных отключенных сессий

3 - 2147483647

300

max_prepared_statements_per_session

integer

Максимальное количество именованных запросов на клиентскую сессию

3 - 2147483647

25

max_shared_prepared_statements_names

integer

Предел количества хранимых в shared memory уникальных подготовленных запросов

3 - 2147483647

50

max_local_prepared_statements_names

integer

Предел количества локально хранимых в памяти процессов бэкенда картированных наименований подготовленных запросов

1 - 2147483647

100

max_local_prepared_statements

integer

Предел количества локально хранимых в памяти процессов бэкенда подготовленных запросов

1 - 2147483647

50

shared_prepared_statements_search_path_length

integer

Максимальная длина значения search_path клиентской сессии, включая нулевой байт окончания строки

16 - 1024

128

Параметры глобальных индексов

В СУБД Pangolin реализованы следующие параметры для поддержки глобальных индексов.

Параметры функций UNITE и autounite

Параметр

Тип

Описание

Ограничение значения

Значение по умолчанию

unite_concurrently

boolean

Управляет включением/выключением конкурентного режим UNITE

on/off

on

autounite_max_workers

boolean

Управляет автоматическим выполнением процесса Unite для конкретного глобального индекса

on/off

on

autounite

boolean

Флаг включения процесса автообъединения

true/false

true

autounite_naptime

integer

Интервал в секундах между запусками автообъединения на одной базе данных (в секундах)

1 - INT_MAX / 1000

60

autounite_parent_children_size_ratio

integer

Соотношение суммарного размера саб-индексов к размеру родительского глобального индекса, при превышении которого выполняется автообъединение. Например, значение 0 - автобъединение без анализа соотношения размеров, 1 - соотношение предка к потомкам 1:1 (объединение будет выполнено, как только суммарный размер индексов потомков превысит размер глобального индекса предка); 2 - соотношение предка к потомкам 1:2 (объединение будет выполнено, как только суммарный размер индексов потомков превысит 1/2 от размера глобального индекса предка) и так далее

0 – 1024

0

autounite_max_children_count

integer

Максимальное количество субиндексов, при котором автообъединение не выполняется

0 – INT_MAX

0 (автообъединение без учета количества потомков)

autounite_pause_period

string

Временной интервал, в который автообъединение не выполняется

Формат ЧЧ-ЧЧ

'' (период бездействия отсутствует)

Параметры процесса autovacuum

Параметр

Тип

Описание

Ограничение значения

Значение по умолчанию

autovacuum_vacuum_threshold

integer

Задает целое положительное число, свободный коэффициент в неравенстве autovacuum launcher

0 - INT_MAX

50

autovacuum_vacuum_scale_factor

REAL

Задает коэффициент, определяющий суммарную долю записей в партициях

0.0 - 100.0

0.2

autovacuum_enabled

boolean

Управляет включением/отключением autovacuum на уровне таблицы

true/false

true

Параметры настройки планов сканирования

Параметр

Тип

Описание

Ограничение значения

Значение по умолчанию

enable_globalindexonpartition

boolean

Управляет включением/отключением сканирования по глобальному индексу, при этом, если параметр включен, то при прямых запросах к разделам разбитой таблицы глобальный индекс может использоваться как «локальный» индекс раздела. Если параметр имеет значение off, то применяется seqscan и другие

true/false

true

enable_globalindexscan

boolean

Управляет включением/отключением сканирования по глобальному индексу

true/false

true

enable_globalindexonlyscan

boolean

Управляет включением/отключением сканирования только по глобальному индексу

true/false

true

enable_globalindex_extensiveplan

boolean

разрешает использовать глобальный индекс напрямую при построении плана сканирования партиционированной таблицы. Это ускоряет этап планирования запросов и позволяет получить более точную оценку стоимости выполнения. Данный план строится только для запросов, которые используют WHERE field = ...

true/false

true

Параметры параллелизма при построении и перестраивании глобальных индексов

Параметр

Тип

Описание

Ограничение значения

Значение по умолчанию

Контекст

subindex_build_max_workers

integer

Определяет максимальное количество рабочих процессов, используемых при параллельном построении саб-индексов (локальных индексов партиций)

1 - MAX_BACKENDS

3

postmaster

partitioned_index_parallel_build

boolean

Управляет возможностью параллельного построения обычных (оригинальных) индексов на партиционированных таблицах по умолчанию

true/false

false

user

global_index_parallel_build

boolean

Управляет возможностью параллельного построения глобальных индексов по умолчанию

true/false

true

user