PostgreSQL pg_hba.conf 文件简析

2021-07-30 15:32:26 浏览数 (1)

pg_hba.conf文件存放在数据库集群的数据目录里。

HBA 的意思是 host-based authentication:基于主机的认证。在initdb初始化数据目录的时候,它会安装一个缺省的文件。

文件pg_hba.conf的常用格式是一套记录,每行一条。空白行被忽略,井号( # )开头的注释也被忽略并且记录不能跨行存在。

每条记录声明一种联接类型、一个客户端 IP 地址范围(如果和联接类型相关的话)、一个数据库名、一个用户名字以及对匹配这些参数的联接使用的认证方法。

第一条匹配联接类型、客户端地址和联接企图请求的数据库名和用户名的记录将用于执行认证。


下面是常用的pg_hba.conf配置:

代码语言:javascript复制
# TYPE  DATABASE  USER  CIDR-ADDRESS  METHOD
 
# "local" is for Unix domain socket connections only
local    all      all                 ident
# IPv4 local connections:
host     all      all   127.0.0.1/32  md5
# IPv6 local connections:
host     all      all   ::1/128       md5

TYPE定义了多种连接PostgreSQL的方式,分别是:

  • “local”使用本地unix套接字
  • “host”使用TCP/IP连接(包括SSL和非SSL)
  • “host”结合“IPv4地址”使用IPv4方式
  • 结合“IPv6地址”则使用IPv6方式
  • “hostssl”只能使用SSL TCP/IP连接
  • “hostnossl”不能使用SSL TCP/IP连接

DATABASE指定哪个数据库、多个数据库、库名间以逗号分隔。“all”只有在没有其他条目符合时才代表“所有”,如果有其他条目符合则代表“除了该条之外的”,因为“all”的优先级最低。如下例:

代码语言:javascript复制
local   testdb    test      reject
local    all      all        ident

这两条都是指定local访问方式,因为前一条指定了特定的数据库testdb,所以后一条的all代表的是除了tesstdb之外的数据库,同理,用户的all也是如此。

USER指定哪个数据库用户(PostgreSQL正规的叫法是角色,role)。多个用户以逗号分隔。

CIDR-ADDRESS项local方式不必填写,该项可以是IPv4地址或IPv6地址,可以定义某台主机或某个网段。

METHOD指定如何处理客户端的认证。常用的有ident、md5、password、trust、peer、reject。其中ident和peer模式仅适用于Linux、Unix和Max,不适用于Windows。

ident是Linux下PostgreSQL默认的local认证方式,凡是能正确登录服务器的操作系统用户(注:不是数据库用户),就能使用本用户映射的数据库且用户不需密码登录数据库。用户映射文件为pg_ident.conf,这个文件记录着与操作系统用户匹配的数据库用户,如果某操作系统用户在本文件中没有映射用户,则默认的映射数据库用户与操作系统用户同名。比如,服务器上有名为test的操作系统用户,同时数据库上也有同名的数据库用户,test登录操作系统后可以直接输入psql,以test数据库用户身份登录数据库且不需密码。所以在刚开始学习PG的时候常遇到psql -U username登录数据库却出现“username ident 认证失败”的错误,明明数据库用户已经createuser。原因就在于使用了ident认证方式,却没有同名的操作系统用户或没有相应的映射用户。解决方案如下:

1、在pg_ident.conf中添加映射用户;

2、改变认证方式。

md5是常用的密码认证方式,如果你不使用ident,最好使用md5。密码是以md5形式传送给数据库,较安全,且不需建立同名的操作系统用户。

password是以明文密码传送给数据库,建议不要在生产环境中使用。

trust是只要知道数据库用户名不需要密码或ident就能登录,建议不要在生产环境中使用。

peer是使用连接发起端的操作系统名进行身份验证。仅限于Linux、BSD、Mac OS X和Solaris,并且仅可用于本地服务器发起的连接。

reject是拒绝认证。

即使是针对同一个数据库,多种身份验证模式可以同时使用。对于每一个连接请求,postgres服务器会按照pg_hba.conf文件中记录的规则条目自上而下进行检查。

当匹配到第一条满足条件的规则时,就不再向下检查。如果到文件末尾都没有搜到匹配的规则,那么按默认规则处理,即拒绝该链接。

本地使用psql登录数据库,是以unix套接字附合local的方式。

使用PGAdmin3或php登录数据库,不论是否本地,均是以TCP/IP附合host的方式。如果是本地(数据库地址localhost),CIDR-ADDRESS则为127.0.0.1/32。

例:

1、允许本地使用PGAdmin3登录数据库,数据库地址localhost,用户test,数据库testdb:

代码语言:javascript复制
host    testdb    test   127.0.0.1/32      md5

2、允许192.168.116.12~192.168.116.12.255网段登录数据库:

代码语言:javascript复制
host    all    all    192.168.116.12/24    md5

3、信任192.168.116.12登录数据库:

代码语言:javascript复制
host    all    all    192.168.116.12/32    trust

pg_hba.conf修改后,使用pg_ctl reload重新读取pg_hba.conf文件,如果pg_ctl找不到数据库,则用-D /…/pgsql/data/ 指定数据库目录,或export PGDATA=/…/pgsql/data/ 导入环境变量。

如果是在linux以服务的形式安装的,那么执行:

命令:

代码语言:javascript复制
service postgresql-9.5 reload      执行时输入对应安装的数据库版本

另外一种加载配置文件的方法是以超级用户登录到任何一个数据库后执行:

命令:

代码语言:javascript复制
select pg_reload_conf();

以下提供官方文档对pg_hba.conf文件的解释:

官方文档英文版地址:https://www.postgresql.org/docs/13/auth-pg-hba-conf.ht

官方文档中文版地址:http://www.postgres.cn/docs/11/auth-pg-hba-conf.html

墨天轮原文链接:https://www.modb.pro/db/25634(复制到浏览器查看)

END

0 人点赞