PostgreSQL的pg_hba.conf 客户端认证

认证是数据库服务器对客户端用户身份鉴别的过程,并且确定客户端以该用户是否可以连接数据库服务器。PostgreSQL提供多种不同的客户端认证方式,而pg_hba.conf就是客户端认证的配置文件,pg_hba即PostGreSQL host-base authentication的简称。

一、语法格式

TYPE       DATABASE  USER  CIDR-ADDRESS  METHOD
local      database  user  auth-method  [auth-options]
host       database  user  address  auth-method  [auth-options]
hostssl    database  user  address  auth-method  [auth-options]
hostnossl  database  user  address  auth-method  [auth-options]
host       database  user  IP-address  IP-mask  auth-method  [auth-options]
hostssl    database  user  IP-address  IP-mask  auth-method  [auth-options]
hostnossl  database  user  IP-address  IP-mask  auth-method  [auth-options]

1.1 TYPE

  • local:使用本地unix套接字。
  • host:使用TCP/IP连接(包括SSL和非SSL),结合“IPv4地址”使用IPv4方式,结合“IPv6地址”则使用IPv6方式。
  • hostssl:只能使用SSL TCP/IP连接。
  • hostnossl:不能使用SSL TCP/IP连接。

1.2 DATABASE

指定哪个数据库,多个数据库,库名间以逗号分隔。“all”只有在没有其他的符合条目时才代表“所有”,如果有其他的符合条目则代表“除了该条之外的”,因为“all”的优先级最低。如下例:

local    db1    user1    reject
local    all    all      ident

这两条都是指定local访问方式,因为前一条指定了特定的数据库db1,所以后一条的all代表的是除了db1之外的数据库,同理用户的all也是这个道理。replication:指复制操作,因为复制操作不需要制定数据库。

1.3 USER

指定哪个数据库用户(PostgreSQL正规的叫法是角色,role)。多个用户以逗号分隔。

1.4 CIDR-ADDRESS

local方式不必填写,该项可以是IPv4地址或IPv6地址,可以定义某台主机或某个网段。

1.5 METHOD

指定如何处理客户端的认证。包括包含选项有: trust、reject、md5、password、gss、sspi、krb5、ident、ldap、radius、cert、pam,常用的有ident,md5,password,trust,reject

1.6 IP-ADDRESS / IP-MASK 

和1.4 CIDR-ADDRESS一样,只是不同的写法.

二、认证方式

2.1 ident

ident是Linux下PostgreSQL默认的local认证方式,凡是能正确登录服务器的操作系统用户(注:不是数据库用户)就能使用本用户映射的数据库用户不需密码登录数据库。用户映射文件为pg_ident.conf,这个文件记录着与操作系统用户匹配的数据库用户,如果某操作系统用户在本文件中没有映射用户,则默认的映射数据库用户与操作系统用户同名。比如,服务器上有名为user1的操作系统用户,同时数据库上也有同名的数据库用户,user1登录操作系统后可以直接输入psql,以user1数据库用户身份登录数据库且不需密码。很多初学者都会遇到psql -U username登录数据库却出现“username ident 认证失败”的错误,明明数据库用户已经createuser。原因就在于此,使用了ident认证方式,却没有同名的操作系统用户或没有相应的映射用户。解决方案:1、在pg_ident.conf中添加映射用户;2、改变认证方式

2.2 md5

是常用的密码认证方式,如果你不使用ident,最好使用md5。密码是以md5形式传送给数据库,较安全,且不需建立同名的操作系统用户。

2.3 password

是以明文密码传送给数据库,建议不要在生产环境中使用。

2.4 trust

只要知道数据库用户名就不需要密码或ident就能登录,建议不要在生产环境中使用。

2.5 reject

拒绝认证。

三、示例

# 允许本地系统上的所有用户,通过 Unix 套接字,连接所有数据库。
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
local   all             all                                     trust

# 允许本地系统上的所有用户,但是使用本地环回 TCP/IP ,连接所有数据库。
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             127.0.0.1/32            trust

# 同上一个例子,但是使用了一个独立的掩码列
# TYPE  DATABASE        USER            IP-ADDRESS      IP-MASK             METHOD
host    all             all             127.0.0.1       255.255.255.255     trust

# 同上一个例子,IPv6 上相同的规则
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             ::1/128                 trust

# 同上一个例子,使用主机名的相同规则(通常同时覆盖 IPv4 和 IPv6)。
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             localhost               trust

# 允许来自任意192.168.80.x 的主机的任何用户,使用与数据库同名的用户,连接postgres数据库
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    postgres        all             192.168.80.0/24         ident

#允许来自任意192.168.80.x 的主机的任何用户,使用密码,连接postgres数据库
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    postgres        all             192.168.80.0/32        md5

#允许来自任意.example.com 的主机的任何用户,使用密码,连接postgres数据库
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             .example.com            md5


#禁止除来自任意192.168.80.x 的主机的任何用户,连接所有的数据库
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             192.168.80.0/32         reject
host    all             all             0.0.0.0/0               gss

#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             192.168.0.0/16          ident map=omicron


# 允许本地所有的用户连接到同名的数据库,但$PGDATA/admins文件中的用户、support用户除外,
# 它们可以连接所有数据库,以上都需要密码认证
# TYPE  DATABASE        USER            ADDRESS                 METHOD
local   sameuser        all                                     md5
local   all             @admins                                 md5
local   all             +support                                md5

# 上面的最后两行可以被整合为一行:
local   all             @admins,+support                        md5

# 数据库列也可以用列表和文件名:
local   db1,db2,@demodbs  all                                   md5

四、常用的参考配置

# "local" is for Unix domain socket connections only
local   all             all                                     md5
# IPv4 local connections:
host    all             all             192.168.80.0/32         md5
# Allow replication connections from localhost, by a user with the
# replication privilege.
local   replication     all                                     md5
host    replication     all             127.0.0.1/32            md5
host    replication     all             ::1/128                 md5
Tips :01
pg_hba.conf修改后,使用pg_ctl reload重新读取pg_hba.conf文件,如果pg_ctl找不到数据库,
则用-D /.../pgsql/data/ 指定数据库目录。

关于客户端的认证的详细教程,可参考:http://www.postgres.cn/docs/9.6/client-authentication.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>