8.2.20 Account Locking

8.2.20 Account Locking

MySQL은 CREATE USER 및 ALTER USER 문에 대한 ACCOUNT LOCK 및 ACCOUNT UNLOCK 절을 사용하여 사용자 계정의 잠금(locking) 및 잠금 해제(unlocking)를 지원합니다:

• CREATE USER와 함께 사용되는 경우, 이 절들은 새 계정에 대한 초기 잠금 상태를 지정합니다. 어느 절도 없는 경우, 계정은 잠금 해제된(unlocked) 상태로 생성됩니다.

validate_password 컴포넌트가 활성화되어 있으면, 계정이 잠겨 있더라도 비밀번호 없이 계정을 생성하는 것은 허용되지 않습니다. 자세한 내용은 Section 8.4.4, “The Password Validation Component”를 참조하십시오.

• ALTER USER와 함께 사용되는 경우, 이 절들은 기존 계정에 대한 새로운 잠금 상태를 지정합니다. 어느 절도 없는 경우, 계정 잠금 상태는 변경되지 않습니다.

ALTER USER ... UNLOCK는 너무 많은 로그인 실패로 인해 일시적으로 잠겨 있는, 문에서 이름이 지정된 모든 계정의 잠금을 해제합니다. 자세한 내용은 Section 8.2.15, “Password Management”를 참조하십시오.

계정 잠금 상태는 mysql.user 시스템 테이블의 account_locked 컬럼에 기록됩니다. SHOW CREATE USER의 출력은 어떤 계정이 잠겨 있는지 혹은 잠금 해제되어 있는지를 나타냅니다.

클라이언트가 잠겨 있는 계정으로 접속을 시도하면, 그 시도는 실패합니다. 서버는 잠겨 있는 계정으로의 접속 시도 횟수를 나타내는 Locked_connects 상태 변수를 증가시키고, ER_ACCOUNT_HAS_BEEN_LOCKED 에러를 반환하며, 에러 로그에 메시지를 기록합니다:

1Access denied for user 'user_name'@'host_name'.
2Account is locked.

계정을 잠그는 것은 잠겨 있는 계정의 ID를 대신 사용하는 프록시 사용자를 사용하여 접속할 수 있는 능력에는 영향을 주지 않습니다. 또한, 잠겨 있는 계정을 이름으로 갖는 DEFINER 어트리뷰트가 지정된 스토어드 프로그램이나 뷰를 실행할 수 있는 능력에도 영향을 주지 않습니다.

즉, 프록시된 계정이나 스토어드 프로그램 또는 뷰를 사용하는 능력은 계정을 잠그더라도 영향을 받지 않습니다.

계정 잠금 기능은 mysql.user 시스템 테이블에 account_locked 컬럼이 존재하는지 여부에 따라 달려 있습니다. MySQL 5.7.6보다 오래된 버전에서 업그레이드하는 경우, 이 컬럼이 존재하도록 MySQL 업그레이드 절차를 수행해야 합니다. 자세한 내용은 Chapter 3, Upgrading MySQL을 참조하십시오.

account_locked 컬럼이 없는, 업그레이드되지 않은 설치본의 경우, 서버는 모든 계정을 잠금 해제된 상태로 취급하며, ACCOUNT LOCK 또는 ACCOUNT UNLOCK 절을 사용하면 에러가 발생합니다.