Перейти к основному содержимому

Конфигурационные параметры

Параметры парольных политик

В данном разделе более подробно описаны параметры механизма парольных политик.

ПараметрОписаниеТипPOSIX шаблонЗначение по умолчаниюАналог в pg_pp_policy
password_policy.policy_enableВключение/выключение парольной политикиbooleanon/offonpolicyenable
password_policy.deny_defaultВключение/выключение использования настроек из postgresql.confbooleanon/offoff-
password_policy.psql_encrypt_passwordЗасекречивание пароля при передаче от клиента к БДbooleanon/off--
password_policy.deduplicate_ssl_no_ssl_fail_auth_attemptsВключение механизма исключения повторных попыток подключения psqlbooleanon/offon-
password_policy.allow_hashed_passwordРазрешить задание пароля в виде хешаbooleanon/offoff-

Настройка хранения паролей

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.reuse_timeВремя в секундах, в течение которого старый пароль сохраняется, и попытка сменить пароль на совпадающий со старым заканчивается ошибкойstring\d+ sнеотрицательное365 days-reusetime
password_policy.in_historyМаксимальное количество сохраненных старых паролейinteger[0-1000]0-100040 – Проверка на совпадение пароля с ранее использованным не проводится (при условии reuse_time = 0)inhistory
примечание

Если задан параметр password_policy.reuse_time, то параметр password_policy.in_history не используется.

Время жизни пароля

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.max_ageВремя жизни пароля в секундахstring\d+ sнеотрицательное00 – Проверка максимального времени жизни пароля не производитсяmaxage
password_policy.min_ageМинимальное время между изменениями пароляstring\d+ sнеотрицательное00 – Проверка максимального времени жизни пароля не производитсяminage
password_policy.grace_login_limitМаксимальное количество аутентификаций после истечения срока действия пароляinteger[0-1000]0-10000-graceloginlimit
password_policy.grace_login_time_limitВремя, в течение которого пароль остается рабочим после окончания срока его действияstring\d+ sнеотрицательное3 days0 – аутентификация не доступна по истечении времени жизни пароляgracelogintimelimit
password_policy.expire_warningВремя до истечения пароля, при котором выводится предупреждениеstring\d+ sнеотрицательное7 days0 – не выводит предупреждениеexpirewarning

Поведение при неудачной аутентификации

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.lockoutБлокировка аккаунта при достижении максимума неверных попыток аутентификацииbooleanon/offon/offon-lockout
password_policy.max_failureМаксимальное количество неверных попыток аутентификацииinteger[1-1000]1-10006-maxfailure
password_policy.failure_count_intervalВремя, после которого количество неверных попыток сбрасываетсяstring\d+ s>= 000 – счетчик не обнуляетсяfailurecountinterval
password_policy.lockout_durationВремя блокировки аккаунтаstring\d+ sнеотрицательное24 hours0 – блокировка пользователя по количеству неудачных аутентификаций бессрочнаlockoutduration

Синтаксические проверки пароля

ПараметрОписаниеТипОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.check_syntaxВключение синтаксической проверки пароляbooleanon/offonchecksyntax
password_policy.alpha_numericМинимальное количество цифр в паролеinteger0-100030 – не проверятьalphanumeric
password_policy.min_lengthМинимальная длина пароляinteger0-1000160 – не проверятьminlength
password_policy.min_alpha_charsМинимальное количество букв в паролеinteger0-100000 – не проверятьminalphachars
password_policy.min_special_charsМинимальное количество специальных символовinteger0-100000 – не проверятьminspecialchars
password_policy.min_uppercaseМинимальное количество прописных буквinteger0-100010 – не проверятьminuppercase
password_policy.min_lowercaseМинимальное количество строчных буквinteger0-100000 – не проверятьminlowercase
password_policy.max_rpt_charsМаксимальное количество повторяющихся символовinteger0-100000 – не проверятьmaxrptchars

Проверка максимального времени неактивности пользователя

ПараметрОписаниеТипОграничение значенияЗначение по умолчаниюСпециальные значения параметровАналог в pg_pp_policy
password_policy.track_loginЗапоминать ли время последней аутентификацииbooleanon/offofftracklogin
password_policy.max_inactivityВремя последней аутентификации, после которого аккаунт блокируетсяstringнеотрицательное00 – функциональность отключенаmaxinactivity

Использование библиотеки zxcvbn

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюАналог в pg_pp_policy
password_policy.use_password_strength_estimatorВключение использования библиотеки zxcvbn для оценки сложности пароляbooleanon/offon/offonusepasswordstrengthestimator
password_policy.password_strength_estimator_scoreМинимальная оценка сложности пароляinteger[0-4]0-43passwordstrengthestimatorscore

Использование пользовательской функции проверки пароля

ПараметрОписаниеТипPOSIX шаблонЗначение по умолчаниюАналог в pg_pp_policy
password_policy.custom_functionПользовательская функция проверки пароляstring[\w\d]+-customfunction

Проверка вхождения пароля в черный список

ПараметрОписаниеТипОграничение значенияЗначение по умолчаниюАналог в pg_pp_policy
password_policy.illegal_valuesПроверка, что пароль не входит в список часто используемыхbooleanon/offonillegalvalues

Настройка кеширования

ПараметрОписаниеТипPOSIX шаблонОграничение значенияЗначение по умолчаниюАналог в pg_pp_policy
password_policy.pp_cache_dump_intervalИнтервал сохранения данных кеша на дискinteger\d+1 - до максимального значения int в системе10-
password_policy.pp_cache_init_sizeРазмер инициализированного кеша парольных политикinteger\d+1 - до максимального значения int в системе10-
password_policy.pp_cache_soft_max_sizeПредполагаемый максимальный размер кешаinteger\d+1 - до максимального значения int в системе60-
password_policy.pp_cache_max_sizeОграничение сверху на размер кешаinteger\d+1 - до максимального значения int в системе1000-

Параметры управления транспортными паролями

ПараметрОписаниеТипЗначение по умолчаниюАналог в pg_pp_policy
password_policy.transport_password_mark_automaticПри значении true пароль становится транспортным автоматически при смене другим пользователем.
При значении false пароль отмечается транспортным вручную		booleanfalse-
transport_password_life_timeОпределяет время жизни транспортного пароляstring0transportpasswordlifetime
password_policy.is_temp_tuz_passwordОпределяет тип пароля (транспортный или нет) для указанных ТУЗbooleantrue-

Параметры аудита

Основной параметр (pgaudit.log)

Настраиваемый параметр конфигурации pgaudit.log указывает, какие классы операторов, событий, функций и команд будут регистрироваться при ведении журнала аудита сессии. Возможные значения:

  • READ: SELECTи COPY, если источник — отношение или запрос;
  • WRITE: INSERT, UPDATE, DELETE, TRUNCATE, и COPY, если цель — отношение;
  • FUNCTION: вызовы функций и блоки DO;
  • ROLE: операторы, связанные с ролями и привилегиями: GRANT, REVOKE, CREATE/ALTER/DROP ROLE;
  • DDL: все DDL, не входящие в класс ROLE;
  • MISC: прочие команды, включая DISCARD, FETCH, CHECKPOINT, VACUUM, SET;
  • MISC_SET: прочие команды SET, включая SET ROLE;
  • CONNECTION: события, связанные с подключением к серверу. Существуют 4 типа таких событий: OPEN, CLOSED, FAILED, CHANGE USER. Событие FAILED регистрируется в случае неудачной попытки аутентификации по паролю и независимо от значения pgaudit.log;
  • PROTECTION: функции настройки механизма защиты от привилегированных пользователей;
  • RECOVERY: события восстановления базы данных;
  • INTEGRITY: события нарушения целостности объектов контроля;
  • ACTION: события запуска/остановки базы данных с причиной остановки;
  • PARAMETER: события изменения конфигурации системы управления базами данных;
  • ALL: включить все вышеперечисленное.

Значение по умолчанию - ddl, role, connection, misc_set, protection.

Для применения измененного значения данного параметра необходимо перечитать конфигурацию. Для добавления новых классов событий необходимо включить параметр pgaudit.legal.

Можно включить несколько классов, перечислив их через запятую, или исключить определенные классы, поставив перед ними знак -. С примером можно ознакомиться в подразделе «Ведение журнала аудита сессии» раздела «Журналирование и аудит» документа «Администрирование функциональностей».

Дополнительные параметры

Конфигурационные параметры аудита

Параметр
Описание
Тип
Значение
pgaudit.legal
Включение/отключение расширенных возможностей аудита: запись логов аудита в отдельный файл, регистрация дополнительных событий аудита, использование нового формата событий аудита.

Для активации указанных в таблице параметров аудита (и добавления в pgaudit.log новых классов событий) необходимо включить данный параметр (pgaudit.legal = on)
boolean
Параметр может быть установлен в значения on/off, применяется при перезапуске сервера.

Значение по умолчанию - off
pgaudit.log_syslog
Включение/отключение записи логов аудита в системный журнал при включенной записи в файл
boolean
По умолчанию - off
pgaudit.log_directory
Путь к каталогу для сохранения файлов аудита. Это может быть абсолютный путь или заданный относительно каталога данных ($PGDATA)
string
Значение по умолчанию - audit

Файлы аудита будут созданы в каталоге $PGDATA/audit
pgaudit.log_filename
Используемый шаблон имен файлов для журналов событий
string
Шаблон может содержать спецпоследовательности, определяющие временную метку, которые начинаются со знака %.

Значение по умолчанию audit-%Y-%m-%d_%H%M%S.log
pgaudit.log_rotation_size
Максимальный размер файла CSV-журнала в килобайтах. При достижении установленного лимита для записи событий безопасности создается новый файл
integer
Если параметр равен 0, новый файл в зависимости от размера текущего создаваться не будет.

Значение по умолчанию 10240 (10 Мб)
pgaudit.log_rotation_age
Максимальное время жизни файла журнала в минутах. По истечении этого времени создается новый файл для записи событий безопасности
integer
Если параметр равен 0, создание новых файлов журналов по времени отключается.

Значение по умолчанию - 1440
pgaudit.log_truncate_on_rotation
Определяет, должны ли усекаться файлы журналов при переключении записи на уже существующий файл журнала.

Параметр учитывается только при ротации по времени. В остальных случаях запись всегда продолжается в конец файла
boolean
Если значение параметра off, запись продолжается в конец файла.

Значение по умолчанию - off
pgaudit.log_file_mode
Определяет права на файл аудита при создании и задается в восьмеричном виде
integer
Значение по умолчанию - 0600
pgaudit.log_recovery
Параметр включает или отключает обработку фатальных ошибок, которые могут возникнуть при работе с файлами аудита
boolean
Значение по умолчанию - off
pgaudit.log_catalog
Указывает, должно ли быть включено ведение журнала сессии в том случае, если все отношения в операторе находятся в pg_catalog. Отключение этого параметра уменьшит шум в журнале от таких инструментов, как psql и pgAdmin, которые часто обращаются к каталогу
boolean
Значение по умолчанию - on
pgaudit.log_client
Указывает, будут ли сообщения журнала видны клиентскому процессу, такому как psql. Этот параметр обычно следует оставить отключенным, но он может быть полезен для отладки или других целей
boolean
pgaudit.log_client активен только тогда, когда значение pgaudit.log_level задано.

Значение по умолчанию - off
pgaudit.log_level
Указывает уровень журналирования, который будет использоваться для записей журнала (см. «Уровни важности сообщений»). Обратите внимание, что значения ERROR, FATAL и PANIC не допускаются.

Этот параметр используется для регрессионного тестирования, а также может быть полезен конечным пользователям для тестирования или других целей
string
Значениеpgaudit.log_level используется только тогда, когда pgaudit.log_client включен;
в противном случае будет использоваться значение по умолчанию.

Значение по умолчанию - log
pgaudit.log_parameter
Указывает, что ведение журнала аудита должно включать параметры, переданные вместе с оператором. При наличии параметров они будут включены в формате CSV после текста оператора
boolean
Значение по умолчанию - off
pgaudit.log_relation
Указывает, должно ли ведение журнала аудита сессии создавать отдельную запись журнала для каждого отношения (TABLE, VIEW и т.д.), на которое ссылается оператор SELECT или DML.
Это полезный прием для исчерпывающего ведения журнала без использования журнала аудита объектов
boolean
Значение по умолчанию - off
pgaudit.log_rows
Указывает, что журнал аудита должен включать количество строк, извлеченных или затронутых оператором.

При включении (on) поле строк будет указан после поля параметра (при pgaudit.log_parameter = on)
boolean
Значение по умолчанию - off
pgaudit.log_statement
Указывает, будет ли в журнал аудита включаться текст запроса и параметры (если это разрешено). В зависимости от требований журнал аудита может не нуждаться в этом, и это делает журналы менее подробными
boolean
Значение по умолчанию - on
pgaudit.log_statement_once
Указывает, будут ли текст и параметры оператора прикрепляться к первой записи в журнале для комбинации оператора и вложенных операторов или к каждой записи.

Отключение этого параметра приведет к менее подробному ведению журнала, но может затруднить определение оператора, сгенерировавшего запись журнала, хотя пары оператора и вложенного оператора вместе с идентификатором процесса должно быть достаточно для идентификации текста оператора, записанного в предыдущей записи
boolean
Значение по умолчанию - off
pgaudit.role
Указывает главную роль, используемую для ведения журнала аудита объектов. Можно определить несколько ролей аудита, закрепив их главной роли. Это позволяет нескольким группам отвечать за различные аспекты ведения журнала аудита
string
Значение по умолчанию отсутствует

Параметры системного лога

Префикс строки системного журнала

Для добавления других полей, необходимых для удовлетворения требований к системному журналу логов, используйте префикс строки log_line_prefix:

СпецсимволНазначениеТолько для пользовательского процесса
%aИмя приложения (application_name)да
%uИмя пользователяда
%dИмя базы данныхда
%rИмя удаленного узла или IP-адрес, а также номер портада
%hИмя удаленного узла или IP-адресда
%pИдентификатор процессанет
%tШтамп времени, без миллисекунднет
%mШтамп времени, с миллисекундаминет
%nШтамп времени, с миллисекундами (в виде времени Unix)нет
%iТег команды: тип текущей команды в сессиида
%eКод ошибки SQLSTATEнет
%cИдентификатор сессиинет
%lНомер строки журнала для каждой сессии или процесса. Начинается с 1нет
%sШтамп времени начала процессанет
%vИдентификатор виртуальной транзакции (backendID/localXID)нет
%xИдентификатор транзакции (0 если не присвоен)нет
%qНичего не выводит. Непользовательские процессы останавливаются в этой точке. Игнорируется пользовательскими процессаминет
%%Выводит %нет

Пример префикса строки журнала: "%m %u %d \[%p\]:" - включить дату/время, имя пользователя, имя базы данных и идентификатор процесса для каждой записи журнала аудита.

В качестве идентификатора используется UUIDv4 (формируется случайным образом). Для получения идентификатора используется функция gen_random_uuid. Формат идентификатора:

xxxxxxxxxxxxMxxxNxxxxxxxxxxxxxxx
Значения на позициях M и N определяют соответственно версию и вариант UUID

Параметры обфускации данных

Параметр
Значение по умолчанию
Описание
anon.algorithm
sha256
Алгоритм хеширования, применяемый методом псевдонимизации.
Поддерживаются md5, sha1, sha224, sha256, sha384 и sha512
anon.allow_constraints_masking
false
Флаг, допускающий обфускацию для атрибутов, входящих в ограничение целостности
anon.default_locale
en_US
Локаль инициализации таблиц подстановок, применяемых в методах фальсификации и псевдонимизации
anon.k_anonymity_provider
k_anonymity
Имя SECURITY PROVIDER, используемого для метода K-Anonimity
anon.masking_policies
anon
Схема БД, используемая расширением обфускации данных и содержащая таблицы и функции подстановок
anon.maskschema
mask
Схема БД, используемая для генерации анонимизированных данных
anon.privacy_by_default
off
Выбор стратегии маскирования атрибутов, не имеющих метки SECURITY LABEL. При включении параметра — для всех атрибутов, имеющих значения по умолчанию — будут использоваться они. Для атрибутов, допускающих NULL — подставлен NULL
anon.restrict_to_trusted_schemas
on
Признак использования функций маскирования, расположенных только в схемах с атрибутом TRUSTED
anon.salt
Отсутствует
Соль, используемая для метода псевдонимизации
anon.sourceschema
public
Схема БД по умолчанию, содержащая исходные данные. В случае использования нескольких схем — каждая из них должна быть помечена атрибутом TRUSTED
anon.strict_mode
on
Требования соответствия типа подстановочного значения типу исходного значения
anon.transparent_dynamic_masking
off
Режим динамического маскирования

Настроечные параметры KMS

Настроечные параметры, управляемые администраторами безопасности через KMS в режиме защищенного конфигурирования.

ПараметрГде ведетсяЗначение по умолчанию
allowed_serversKMSПустая строка
pg_ident_conf (локально файл pg_ident.conf)Должны совпадать на KMS и локальноNULL
is_tde_onKMSoff
psql_encrypt_passwordKMSoff
enabled_extra_auth_methodsKMSПустая строка
enabled_sec_admin_extra_auth_methodsKMSПустая строка
encrypt_new_tablespacesKMSddl
masking_modeKMSdisabled
password_encryptionKMSmd5
password_policy.alpha_numericKMS1
password_policy.allow_hashed_passwordKMSoff
password_policy.check_syntaxKMSon
password_policy.custom_functionKMSПустая строка
password_policy.deny_defaultKMSoff
password_policies_enableKMSoff
password_policy.expire_warningKMS7 days
password_policy.failure_count_intervalKMS0
password_policy.grace_login_limitKMS5
password_policy.grace_login_time_limitKMS0
password_policy.illegal_valuesKMSoff
password_policy.in_historyKMS0
password_policy.lockoutKMSon
password_policy.lockout_durationKMS24 hours
password_policy.min_ageKMS0
password_policy.max_ageKMS120 days
password_policy.max_failureKMS10
password_policy.max_inactivityKMS0
password_policy.max_rpt_charsKMS0
password_policy.min_alpha_charsKMS0
password_policy.min_lengthKMS5
password_policy.min_lowercaseKMS0
password_policy.min_special_charsKMS0
password_policy.min_uppercaseKMS0
password_policy.password_strength_estimator_scoreKMS3
password_policy.reuse_timeKMS0
password_policy.track_loginKMSoff
password_policy.transport_password_life_timeKMS0
password_policy.transport_password_mark_automaticKMSoff
password_policy.use_password_strength_estimatorKMSoff
performance_insights.maskingKMSon
sec_admin_default_authKMSscram-sha-256
secure_configKMSДолжно быть явно задано при настроенном подключении к KMS.
Отсутствие значения является ошибкой.
При значении on защищенные параметры считываются с KMS.
При значении off защищенные параметры считываются из локальных файлов
sslKMSoff

Параметры автоочистки

Общие параметры настройки автоочистки

ПараметрОписаниеТипЗначение по умолчаниюОграничение значенияСпециальные значения параметров
autovacuumВключает процесс автоочисткиboolon--
autovacuum_naptimeИнтервал в секундах между запусками автоочисткиint601 - 2147483 (0x7FFFFFFF/1000)-
autovacuum_max_workersМаксимальное количество одновременно запущенных процессов автоочисткиint31 - 262143 (0x7FFFF)-
autovacuum_work_memМаксимальное количество используемой памяти в килобайтах для каждого процесса автоочисткиint-1-1 - 2147483647 (0x7FFFFFFF)-1 - Использование значения maintenance_work_mem
log_autovacuum_min_durationМинимальное время исполнения автоочистки в миллисекундах для вывода логов автоочисткиint600000-1 - 2147483647 (0x7FFFFFFF)0- Выводить все;
-1 - Логи отключены

Параметры условий запуска автоочистки

ПараметрОписаниеТипЗначение по умолчаниюОграничение значенияСпециальные значения параметров
autovacuum_vacuum_thresholdМинимальное количество измененных строк (UDPATE или DELETE) для запуска автоочисткиint500 - 2147483647 (0x7FFFFFFF)-
autovacuum_vacuum_scale_factorМножитель к количеству строк в таблице применительно к autovacuum_vacuum_thresholdreal0.20.0 - 100.0-
autovacuum_vacuum_insert_thresholdМинимальное количество добавленных строк (INSERT) для запуска автоочисткиint1000-1 - 2147483647 (0x7FFFFFFF)-1 - Отключить автоочистку из-за добавления строк
autovacuum_vacuum_insert_scale_factorМножитель к количеству строк в таблице применительно к autovacuum_vacuum_insert_thresholdreal0.20.0 - 100.0-
autovacuum_analyze_thresholdМинимальное количество операций со строками (INSERT, UPDATE, DELETE) для обновления статистикиint500 - 2147483647 (0x7FFFFFFF)-
autovacuum_analyze_scale_factorМножитель к количеству строк в таблице применительно к autovacuum_analyze_thresholdreal0.10.0 - 100.0-

Параметры заморозки строк и таблиц

ПараметрОписаниеТипЗначение по умолчаниюОграничение значенияСпециальные значения параметров
vacuum_freeze_min_ageВозраст строк для заморозки при автоочисткеint64500000000 - 0x7FFFFFFFFFFFFFFF-
vacuum_multixact_freeze_min_ageВозраст строк для заморозки MultiXactIdint64500000000 - 0x7FFFFFFFFFFFFFFF-
vacuum_freeze_table_ageВозраст таблицы для сканирования всей таблицы и заморозки всех строк (агрессивная автоочистка)int641500000000 - 0x7FFFFFFFFFFFFFFF-
vacuum_multixact_freeze_table_ageВозраст мультитранзакций для агрессивной автоочисткиint641500000000 - 0x7FFFFFFFFFFFFFFF-
autovacuum_freeze_max_ageВозраст для агрессивной автоочистки от переполнения xid («to prevent wraparound»)int6410000000000100000 - 0x7FFFFFFFFFFFFFFF-
autovacuum_multixact_freeze_max_ageВозраст мультитранзакций для агрессивной автоочистки от переполнения MultiXact («to prevent wraparound»)int642000000000010000 - 0x7FFFFFFFFFFFFFFF-

Параметры для 32-битных счетчиков

ПараметрОписаниеТипЗначение по умолчаниюОграничение значенияСпециальные значения параметров
vacuum_multixact_failsafe_ageВозраст мультитранзакций для аварийной агрессивной автоочистки от переполнения MultiXact («to prevent wraparound»)int16000000000 - 2100000000-
vacuum_failsafe_ageВозраст для аварийной агрессивной автоочистки от переполнения xid («to prevent wraparound»)int16000000000 - 2100000000-

Параметры сквозной аутентификации

Настроить сквозную аутентификацию в СУБД Pangolin можно с помощью конфигурационных параметров, описанных в данном разделе.

Сведения

Дополнительно, для настройки механизма сквозной аутентификации, потребуется реализация настроек в конфигурации приложения Pangolin Pooler.

Параметры аутентификации:

Параметр
Описание
Значение
authentication_proxy (integer)
Параметр включает/выключает режим сквозной аутентификации
Возможные значения:

- 0 — режим сквозной аутентификации выключен, не позволяет выполнять аутентификацию пользователей конкретной БД в отдельном потоке (значение по умолчанию);
- 1 — режим сквозной аутентификации включен, позволяет выполнять аутентификацию пользователей конкретной БД в отдельном потоке
authentication_max_workers (integer)
Параметр определяет максимальное число одновременных подключений для выполнения аутентификации пользователей
Значение по умолчанию 16. При значении, равном 0, сквозная аутентификация выполняться не будет.

Параметр authentication_max_workers можно задать только при запуске сервера
auth_handshake_timeout (integer)
Параметр определяет максимальное время, за которое должно произойти подтверждение аутентификации (в секундах). Если потенциальный клиент не сможет выполнить подтверждение аутентификации (рукопожатие) за это время, сервер закроет соединение
Значение по умолчанию 10 секунд
auth_activity_period (integer)
Параметр определяет период активности аутентификации (в секундах). Это время, в течение которого ранее аутентифицированный клиент при подключении с идентичными параметрами (тип соединения, адрес клиента, база данных и имя пользователя), выполнит аутентификацию по token
Значение по умолчанию 60

Значение передается на Pangolin Pooler и используется для проведения более быстрой аутентификации. Возможные значения:

- -1 — не используется период активности аутентификации;
- 0 — период активности аутентификации не имеет ограничений по времени;
- > 0 — имеет ограничение по времени
auth_idle_period (integer)
Параметр определяет период простоя процесса сквозной аутентификации (в секундах). Отсчет периода начинается после обработки последнего полученного пакета. После окончания периода будет проверено, нужно ли продолжать работу процесса сквозной аутентификации. Процесс будет прерван, если связанной с ним базы данных нет, или она была удалена или переименована
Значение по умолчанию 60
auth_ete_cache_size (integet)
Параметр определяет размер кеша ключей засекречивания токенов аутентификации. При достижении максимального значения из кеша удаляется самая редко используемая запись.
Значение по умолчанию 1024.

Параметр auth_ete_cache_size можно задать только при запуске сервера
примечание

Не рекомендуется выставлять значение auth_activity_period = 0, так как его нельзя сбросить в Pangolin Pooler без перезагрузки. Выставляемого значения должно хватить, чтобы запустить пул соединений между Pangolin Pooler и Pangolin DBMS.

Параметры подключений:

Параметр
Описание
Значение
authentication_port (integer)
TCP-порт, открываемый сервером для выполнения аутентификации пользователей
По умолчанию порт — 5433.

Параметр authentication_port (integer) можно задать только при запуске сервера

Параметры подготовленных запросов

В СУБД Pangolin реализованы следующие параметры для поддержки подготовленных запросов.

Параметр
Тип
Описание
Ограничение значения
Значение по умолчанию
shared_prepared_statements
boolean
Управляет включением/выключением функциональности разделяемых подготовленных запросов
on/off
off
max_client_sessions
integer
Максимальное количество клиентских сессий.

Рекомендуется устанавливать с двухкратным запасом для демпфирования асинхронности удаления данных отключенных сессий
3 - 2147483647
300
max_prepared_statements_per_session
integer
Максимальное количество именованных запросов на клиентскую сессию
3 - 2147483647
25
max_shared_prepared_statements_names
integer
Предел количества хранимых в shared memory уникальных подготовленных запросов
3 - 2147483647
50
max_local_prepared_statements_names
integer
Предел количества локально хранимых в памяти процессов бэкенда картированных наименований подготовленных запросов
1 - 2147483647
100
max_local_prepared_statements
integer
Предел количества локально хранимых в памяти процессов бэкенда подготовленных запросов
1 - 2147483647
50
shared_prepared_statements_search_path_length
integer
Максимальная длина значения search_path клиентской сессии, включая нулевой байт окончания строки
16 - 1024
128

Параметры глобальных индексов

В СУБД Pangolin реализованы следующие параметры для поддержки глобальных индексов.

Параметры функций UNITE и autounite

Параметр
Тип
Описание
Ограничение значения
Значение по умолчанию
unite_concurrently
boolean
Управляет включением/выключением конкурентного режим UNITE
on/off
on
autounite_max_workers
boolean
Управляет автоматическим выполнением процесса Unite для конкретного глобального индекса
on/off
on
autounite
boolean
Флаг включения процесса автообъединения
true/false
true
autounite_naptime
integer
Интервал в секундах между запусками автообъединения на одной базе данных (в секундах)
1 - INT_MAX / 1000
60
autounite_parent_children_size_ratio
integer
Соотношение суммарного размера саб-индексов к размеру родительского глобального индекса, при превышении которого выполняется автообъединение. Например, значение 0 - автобъединение без анализа соотношения размеров, 1 - соотношение предка к потомкам 1:1 (объединение будет выполнено, как только суммарный размер индексов потомков превысит размер глобального индекса предка); 2 - соотношение предка к потомкам 1:2 (объединение будет выполнено, как только суммарный размер индексов потомков превысит 1/2 от размера глобального индекса предка) и так далее
0 – 1024
0
autounite_max_children_count
integer
Максимальное количество субиндексов, при котором автообъединение не выполняется
0 – INT_MAX
0 (автообъединение без учета количества потомков)
autounite_pause_period
string
Временной интервал, в который автообъединение не выполняется
Формат ЧЧ-ЧЧ
'' (период бездействия отсутствует)

Параметры процесса autovacuum

Параметр
Тип
Описание
Ограничение значения
Значение по умолчанию
autovacuum_vacuum_threshold
integer
Задает целое положительное число, свободный коэффициент в неравенстве autovacuum launcher
0 - INT_MAX
50
autovacuum_vacuum_scale_factor
REAL
Задает коэффициент, определяющий суммарную долю записей в партициях
0.0 - 100.0
0.2
autovacuum_enabled
boolean
Управляет включением/отключением autovacuum на уровне таблицы
true/false
true

Параметры настройки планов сканирования

Параметр
Тип
Описание
Ограничение значения
Значение по умолчанию
enable_globalindexonpartition
boolean
Управляет включением/отключением сканирования по глобальному индексу, при этом, если параметр включен, то при прямых запросах к разделам разбитой таблицы глобальный индекс может использоваться как «локальный» индекс раздела. Если параметр имеет значение off, то применяется seqscan и другие
true/false
true
enable_globalindexscan
boolean
Управляет включением/отключением сканирования по глобальному индексу
true/false
true
enable_globalindexonlyscan
boolean
Управляет включением/отключением сканирования только по глобальному индексу
true/false
true
enable_globalindex_extensiveplan
boolean
разрешает использовать глобальный индекс напрямую при построении плана сканирования партиционированной таблицы. Это ускоряет этап планирования запросов и позволяет получить более точную оценку стоимости выполнения. Данный план строится только для запросов, которые используют WHERE field = ...
true/false
true

Параметры параллелизма при построении и перестраивании глобальных индексов

Параметр
Тип
Описание
Ограничение значения
Значение по умолчанию
Контекст
subindex_build_max_workers
integer
Определяет максимальное количество рабочих процессов, используемых при параллельном построении саб-индексов (локальных индексов партиций)
1 - MAX_BACKENDS
3
postmaster
partitioned_index_parallel_build
boolean
Управляет возможностью параллельного построения обычных (оригинальных) индексов на партиционированных таблицах по умолчанию
true/false
false
user
global_index_parallel_build
boolean
Управляет возможностью параллельного построения глобальных индексов по умолчанию
true/false
true
user