CockroachDB 证书认证与HBA规则测试失败分析

在CockroachDB数据库的24.3.11-rc版本中，发现了一个与SQL连接认证相关的测试失败问题。该问题出现在pgwire组件的TestAuthenticationAndHBARules测试用例中，特别是在处理证书认证和HBA(Host-Based Authentication)规则时。

问题背景

测试失败发生在身份映射(identity mapping)场景下，具体表现为当尝试使用带有用户映射但没有显式系统标识的证书进行连接时，系统返回了"tls: expired certificate"错误，而预期应该是成功连接。

技术细节分析

测试用例配置了以下关键元素：

1. 认证规则配置：

   • 本地环回连接使用trust认证方式
   • root用户强制使用cert-password认证
   • 其他所有用户使用cert-password认证并应用名为"testing"的映射

2. 身份映射规则：

   • 将系统用户"testuser"映射到数据库用户"carl"
   • 支持域映射（如将xxx@cockroachlabs.com映射为xxx）
   • 配置了多个测试用户映射关系

测试过程中，系统创建了两个数据库用户：

• carl用户，密码为'doggo'
• will_be_carl用户，密码为'oggod'

问题根源

失败发生在尝试使用证书认证但证书已过期的场景。测试期望系统能够正确处理带有用户映射的证书认证，但实际遇到了TLS证书过期错误，这表明：

1. 测试环境中使用的证书可能没有正确设置有效期
2. 证书验证逻辑在身份映射处理前就进行了检查
3. 认证流程中可能存在顺序问题，导致映射规则未在证书验证前生效

解决方案

该问题已被修复，主要调整了证书验证和身份映射的处理顺序，确保：

1. 证书有效性检查在正确的时机进行
2. 身份映射规则能够优先应用于认证流程
3. 测试证书的有效期设置符合测试需求

对用户的影响

对于生产环境中的CockroachDB用户，此问题主要影响：

1. 使用证书认证并配置了复杂身份映射的场景
2. 需要精细控制不同用户认证方式的部署
3. 依赖HBA规则进行访问控制的集群

建议用户在升级到包含此修复的版本后，重新验证其认证配置，特别是涉及证书和身份映射的部分。