共计 1847 个字符,预计需要花费 5 分钟才能阅读完成。
这篇文章将为大家详细讲解有关 PostgreSQL 数据库如何实现客户端验证,丸趣 TV 小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。
身份验证是数据库服务器建立客户端身份的过程,并通过扩展确定是否允许客户端应用程序(或运行客户端应用程序的用户)与所请求的数据库用户名连接。
可以基于(客户端)主机地址,数据库和用户来选择用于认证特定客户端连接的方法。
– 1.pg_hba.conf 文件:
客户端身份验证由 pg_hba.conf 配置文件控制。存储在数据库的数据目录中。
记录方式:
连接类型 数据库名称 用户名 客户端 IP 地址范围 用于匹配这些参数的连接的身份验证方法
连接类型:
local : 匹配使用 Unix 域套接字的连接尝试。 host : 匹配使用 TCP/IP 进行的连接尝试, host 记录匹配 SSL 或非 SSL 连接尝试。 hostssl : 匹配使用 TCP/IP 进行的连接尝试, 仅限使用 SSL 加密进行连接时。 hostnossl : 仅匹配通过 TCP/IP 进行的不使用 SSL 的连接尝试
database : 记录匹配的数据库名称. all 指定匹配所有数据库。可以通过用逗号分隔来提供多个数据库名称。 user : 匹配的数据库用户名. 用逗号分隔来提供多个用户名.
address : 匹配的客户端计算机地址. 可包括主机名或 IP 地址范围。 0.0.0.0/ 0 表示所有 IPv4 地址,::0/ 0 表示所有 IPv6 地址。
METHOD :
记录匹配时要使用的身份验证方法。 trust : 允许无条件连接。允许所有连接,无需密码和其他身份验证。 reject : 无条件拒绝连接。 scram-sha-256 : 执行 SCRAM-SHA-256 身份验证以验证用户的密码。 MD5 : 执行 SCRAM-SHA-256 或 MD5 身份验证以验证用户的密码。 password : 要求客户端提供未加密的密码以进行身份验证。网络明文传送, 不安全。 gss : 使用 GSSAPI 对用户进行身份验证。这仅适用于 TCP/IP 连接.
ident : 与客户端的 ident 服务器获取客户端主机的用户名。并检查它是否与请求的数据库用户名匹配。Ident 身份验证只能用于 TCP/IP 连接。 peer : 从操作系统获取主机名, 仅适用于本地连接
cert : 使用 SSL 客户端证书进行身份验证。 pam : 使用操作系统提供的可插入身份验证模块(PAM)服务进行身份验证。
– 2. ident 用户名:配置文件:pg_ident.conf
记录格式: MAPNAME SYSTEM-USERNAME PG-USERNAME
用户名映射在 ident 映射文件中定义.
– 3. 认证方法:
信任认证:
在与服务器的连接上有足够的操作系统级保护时,才应使用.
trust 如果使用文件系统权限限制对服务器的 Unix 域套接字文件的访问,则可以在多用户计算机上使用.
密码认证:
scram-sha-256 身份认证:
防止密码嗅探不受信任的连接,并支持以加密的哈希形式在服务器上存储密码.
md5:
防止密码嗅探并避免以明文形式在服务器上存储密码.
优选选择基于 SCRAM 的身份验证。 password 明文形式发送密码, 连接受 SSL 加密保护才可使用。
每个数据库用户的密码都存储在 pg_authid 系统目录中
– 4. GSSAPI 身份验证:
GSSAPI 提供了一种用于支持它的系统自动认证(单点登录)。身份验证本身是安全的. 除非使用 SSL。 构建 PostgreSQL 时必须启用 GSSAPI 支持。 身份验证:
ident 身份验证方法的工作原理是从身份服务器获取客户端的操作系统用户名, 并将其用作允许的数据库用户名, 在 TCP / IP 连接上受支持.
对等身份验证:
对等身份验证方法的工作原理是从内核获取客户端的操作系统用户名, 并将其用作允许的数据库用户名. 仅在本地连接时支持。
证书认证:
使用 SSL 客户端证书执行身份验证. 仅适用于 SSL 连接.
使用此身份验证方法时,服务器将要求客户端提供有效的可信证书。没有密码提示将被发送到客户端。 cn 证书的(公共名称)属性将与请求的数据库用户名进行比较,如果匹配,则允许登录.
关于“PostgreSQL 数据库如何实现客户端验证”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。
正文完