Postgresql dokumentáció 9
20.1. Pg_hba.conf fájl
Az ügyfél hitelesítését egy olyan konfigurációs fájl vezérli, amelyet hagyományosan pg_hba.conf neveznek, és egy adatbázis-fürtadat-könyvtárban található. (HBA a host-alapú hitelesítést jelenti - a hitelesítő a gazdanév által.) A pg_hba.conf fájl. standard tartalmat az initdb paranccsal hozza létre, amikor az adatkönyvtár inicializálásra kerül. Ugyanakkor máshol is elhelyezhető; nézze meg a hba_file konfigurációs paramétert.
A felvétel a következő hét formátum egyikében végezhető el:
A mezőértékek az alábbiak:
Kezeli a kapcsolatokat a Unix tartományi aljzatokon keresztül. Ilyen rekord nélkül a Unix tartományi aljzatokon keresztül történő kapcsolatok nem lehetségesek. vendéglátó
A TCP / IP által létrehozott kapcsolatokat kezeli. A gazdaadatok megfelelnek az SSL kapcsolatoknak és SSL nélküli kapcsolatoknak.
megjegyzés
A TCP / IP protokollon keresztül létrehozott kapcsolatokat SSL titkosítással kezeli.
A szolgáltatás használatához a kiszolgálónak eredetileg SSL támogatással kell rendelkeznie. Ezenkívül az SSL-nek engedélyezni kell a kiszolgáló elindításának időpontjában az SSL konfigurációs paraméter beállítását (további részletekért lásd: 18.9. Szakasz). hostnossl
Az ilyen típusú bejegyzések a hostssl ellentétei. Csak az SSL-titkosítás nélküli TCP / IP-kapcsolatoknak felel meg. data_base
Meghatározza, hogy mely adatbázisnevek felelnek meg a rekordnak. Az összes érték megadja, hogy minden adatbázis alkalmas. Az sameuser érték azt határozza meg, hogy ez a bejegyzés csak akkor felel meg, ha a kért adatbázis neve megegyezik a kért felhasználó nevével. A samerole érték azt határozza meg, hogy a kért felhasználónak ugyanolyan névvel kell rendelkeznie, mint a kért adatbázis. (a samegroup egy elavult, de érvényes samerole érték opció.) A Superusers nem válik automatikusan a szerephez a samerole miatt. de csak akkor, ha kifejezetten a szerep szerepét képviselik, közvetlenül vagy közvetve, és nem csak azért, mert feletteseik. A replikációs érték azt jelzi, hogy a bejegyzés megegyezik a replikációs kapcsolat kérésével (ne feledje, hogy a replikációs kapcsolatok nem tartalmaznak meghatározott adatbázisokat). Ellenkező esetben ez egy adott PostgreSQL adatbázis neve. Több adatbázisnév is megadható vesszővel elválasztva. Az adatbázis neveket tartalmazó fájl megadásával megadhatja a @ jelet a név elején. használó
Egy adott idővel kezdődő név megadása (.) Megfelel az aktuális csomópontnév utótagjának. Szóval A example.com megegyezik a foo.example.com-val (nem csak a example.com).
Ez a mező csak a bejegyzés bejegyzéseire érvényes. hostssl és hostnossl.
Emellett fordított lekérdezésre van szükség ahhoz, hogy megvalósíthassa az utótagok hozzáadásának lehetőségét, mivel a sablonnak meg kell felelnie az ügyfélszámítógép tényleges nevének.
Vegye figyelembe, hogy ez a viselkedés összhangban van más népszerű, névalapú hozzáférés-vezérlési implementációkkal, például az Apache HTTP kiszolgálóval és a TCP csomagológépekkel.
Ezek a mezők csak a gazda bejegyzésére vonatkoznak. hostssl és hostnossl. hitelesítési módszer
Megadja a hitelesítési módot, ha a kapcsolat megegyezik a bejegyzéssel. Az alábbi lehetőségek láthatók: a részletekért lásd a 20.3 szakaszt.
Lehetővé teszi a feltétel nélküli kapcsolódást. Ez a módszer lehetővé teszi, hogy valaki csatlakozhasson egy szerverhez egy PostgreSQL adatbázis segítségével. jelentkezzen be bármely kívánt PostgreSQL felhasználóhoz jelszó beírása nélkül és más hitelesítés nélkül. A részleteket lásd a 20.3.1 alfejezetben. elutasít
Elutasítja a kapcsolatot feltétel nélkül. Ez a szolgáltatás hasznos lehet a csoport kiszolgálóinak "szűrésére", például az elutasító sztring elutasíthatja egy számítógép csatlakoztatásának kísérletét, a következő sorral, amely lehetővé teszi, hogy a többi számítógépet ugyanazon a hálózaton csatlakoztassa. md5
Szükség van arra, hogy az ügyfél hitelesítse az MD5 algoritmussal kétszer megszakított jelszót. A részleteket lásd a 20.3.2 alfejezetben. jelszó
A kliens hitelesítéséhez titkosítatlan jelszó szükséges. Mivel a jelszót egyszerű szöveges módon küldi a hálózat, ez a módszer nem használható, ha a hálózat nem hoz létre bizalmat. A részleteket lásd a 20.3.2 alfejezetben. GSS
A felhasználó a GSSAPI-t hitelesíti. Ez a módszer csak TCP / IP-kapcsolatok esetén érhető el. A részleteket lásd a 20.3.3 alfejezetben. Sspl
A felhasználó az SSPI-t hitelesíti. A módszer csak Windows operációs rendszer esetén érhető el. A részleteket lásd a 20.3.4 alfejezetben. ident
Megszerzi az ügyfél operációs rendszer felhasználói nevét, kommunikál az azonosítóval, és ellenőrzi, hogy megfelel-e az adatbázis-felhasználónévnek. Az azonosító hitelesítés csak a TCP / IP kapcsolatokhoz használható. Helyi kapcsolatok esetén a peer hitelesítést használják. A részleteket lásd a 20.3.5 alfejezetben. egyenrangú
Az ügyfél operációs rendszerének felhasználónevét az operációs rendszerről kapja, és ellenőrizze, hogy megfelel-e a kért adatbázis felhasználói nevének. Csak helyi kapcsolatokhoz érhető el. A részleteket lásd a 20.3.6 alszakaszban. ldap
Hitelesíti az LDAP szervert. A részleteket lásd a 20.3.7 alszakaszban. sugár
Hitelesíti a RADIUS szervert. A részleteket lásd a 20.3.8 alfejezet cert
Hitelesíti az SSL ügyfél tanúsítványát. A részleteket lásd a 20.3.9 alfejezetben, pam
Hitelesíti az operációs rendszer által biztosított hitelesítési bővítmények (PAM) szolgáltatást. A részleteket lásd a 20.3.10 alszakaszban. BSD
Hitelesíti az operációs rendszer által biztosított BSD hitelesítési szolgáltatást. A részleteket lásd a 20.3.11 alszakaszban.
A különböző módszerekre vonatkozó alábbi paraméterek mellett egy közös kliens-hitelesítő paraméter is létezik. amely bármely hostssl bejegyzésben megadható. Ha ez 1. az ügyfélnek megfelelő (megbízható) SSL-tanúsítványt kell biztosítania a hitelesítési módszerek egyéb követelményei mellett.
A pg_hba.conf fájl az indításkor olvasható, és amikor a fő kiszolgáló folyamat megkapja a SIGHUP jelet. Ha a rendszer futása közben fájlokat szerkeszt, jelet kell küldenie a postmaster-folyamatnak (pg_ctl reload vagy kill -HUP használatával) a frissített fájl olvasásához.
Egy adott adatbázishoz való csatlakozáshoz a felhasználónak nem csak a pg_hba.conf fájl összes ellenőrzését kell átengednie. de a CONNECT jogosultsággal kell rendelkeznie ahhoz, hogy csatlakozzon az adatbázishoz. Ha bizonyos felhasználók számára korlátozni szeretné az adatbázisokhoz való hozzáférést, könnyebb megadni / visszavonni a CONNECT jogosultságot. a szabályok helyett a pg_hba.conf fájl bejegyzései helyett.
Példák a pg_hba.conf fájl bejegyzéseire a 20.1 példában. A hitelesítési módokra vonatkozó további információk a következő részben találhatók.
20.1 példa. Példák a pg_hba.conf bejegyzésekre