postgres访问认证配置文件pg_hba.conf
2017-12-07 00:00
501 查看
pg_hba.conf(默认位于/var/lib/pgsql/10/data/pg_hba.conf)是设置访问认证的主要文件,格式为每条记录一行,每行指定一条访问认证。
设定一条访问认证包含了5个部分:连接方式(type)、数据库(database)、用户名(user)、IP地址、认证方法(authentication method)。
连接方式(type)
共有三种:local、host、hostssl、hostnossl
local使用本地unix套接字
host使用TCP/IP连接(包括SSL和非SSL),“host”结合“IPv4地址”使用IPv4方式,结合“IPv6地址”则使用IPv6方式
hostssl只能使用SSL TCP/IP连接
hostnossl不能使用SSL TCP/IP连接
数据库(database)
声明允许访问的数据库,多个数据库,库名间以逗号分隔。
all表明该记录匹配所有数据库
all只有在没有其他的符合条目时才代表“所有”,如果有其他的符合条目则代表“除了该条之外的”,因为“all”的优先级最低。
用户名(user)
USER指定哪个数据库用户(PostgreSQL正规的叫法是角色,role)。
多个用户以逗号分隔。
组名字可以通过用+做组名字前缀来声明。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明,该文件必需和 pg_hba.conf 在同一个目录。
local db1 user1 reject
local all all ident
这两条都是指定local访问方式,因为前一条指定了特定的数据库db1,所以后一条的all代表的是除了db1之外的数据库,同理用户的all也是这个道理。
CIDR-ADDRESS
格式为ip-address/mask
采用local连接方式不必填写,该项可以是IPv4地址或IPv6地址,可以定义某台主机或某个网段。
认证方法(authentication method)
METHOD指定如何处理客户端的认证。常用的有ident,md5,password,trust,reject。
ident
ident是Linux下PostgreSQL默认的local认证方式,凡是能正确登录服务器的OS用户(注:不是数据库用户)就能使用本用户映射的数据库用户不需密码登录数据库。
用户映射文件为pg_ident.conf,这个文件记录着与OS用户匹配的数据库用户,如果某OS用户在本文件中没有映射用户,则默认的映射数据库用户与操作系统用户同名。
比如,服务器上有名为user1的操作系统用户,同时数据库上也有同名的数据库用户,user1登录操作系统后可以直接输入psql,以user1数据库用户身份登录数据库且不需密码。
很多初学者都会遇到psql -U username登录数据库却出现“username ident 认证失败”的错误,明明数据库用户已经createuser。
原因就在于此,使用了ident认证方式,却没有同名的操作系统用户或没有相应的映射用户。解决方案:1、在pg_ident.conf中添加映射用户;2、改变认证方式。
md5
md5是常用的密码认证方式,如果你不使用ident,最好使用md5。密码是以md5形式传送给数据库,较安全,且不需建立同名的操作系统用户。
password
password是以明文密码传送给数据库,建议不要在生产环境中使用。
trust
&nb
4000
sp; trust是只要知道数据库用户名就不需要密码或ident就能登录,建议不要在生产环境中使用。
reject
reject是拒绝认证
设定一条访问认证包含了5个部分:连接方式(type)、数据库(database)、用户名(user)、IP地址、认证方法(authentication method)。
连接方式(type)
共有三种:local、host、hostssl、hostnossl
local使用本地unix套接字
host使用TCP/IP连接(包括SSL和非SSL),“host”结合“IPv4地址”使用IPv4方式,结合“IPv6地址”则使用IPv6方式
hostssl只能使用SSL TCP/IP连接
hostnossl不能使用SSL TCP/IP连接
数据库(database)
声明允许访问的数据库,多个数据库,库名间以逗号分隔。
all表明该记录匹配所有数据库
all只有在没有其他的符合条目时才代表“所有”,如果有其他的符合条目则代表“除了该条之外的”,因为“all”的优先级最低。
用户名(user)
USER指定哪个数据库用户(PostgreSQL正规的叫法是角色,role)。
多个用户以逗号分隔。
组名字可以通过用+做组名字前缀来声明。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明,该文件必需和 pg_hba.conf 在同一个目录。
local db1 user1 reject
local all all ident
这两条都是指定local访问方式,因为前一条指定了特定的数据库db1,所以后一条的all代表的是除了db1之外的数据库,同理用户的all也是这个道理。
CIDR-ADDRESS
格式为ip-address/mask
采用local连接方式不必填写,该项可以是IPv4地址或IPv6地址,可以定义某台主机或某个网段。
认证方法(authentication method)
METHOD指定如何处理客户端的认证。常用的有ident,md5,password,trust,reject。
ident
ident是Linux下PostgreSQL默认的local认证方式,凡是能正确登录服务器的OS用户(注:不是数据库用户)就能使用本用户映射的数据库用户不需密码登录数据库。
用户映射文件为pg_ident.conf,这个文件记录着与OS用户匹配的数据库用户,如果某OS用户在本文件中没有映射用户,则默认的映射数据库用户与操作系统用户同名。
比如,服务器上有名为user1的操作系统用户,同时数据库上也有同名的数据库用户,user1登录操作系统后可以直接输入psql,以user1数据库用户身份登录数据库且不需密码。
很多初学者都会遇到psql -U username登录数据库却出现“username ident 认证失败”的错误,明明数据库用户已经createuser。
原因就在于此,使用了ident认证方式,却没有同名的操作系统用户或没有相应的映射用户。解决方案:1、在pg_ident.conf中添加映射用户;2、改变认证方式。
md5
md5是常用的密码认证方式,如果你不使用ident,最好使用md5。密码是以md5形式传送给数据库,较安全,且不需建立同名的操作系统用户。
password
password是以明文密码传送给数据库,建议不要在生产环境中使用。
trust
&nb
4000
sp; trust是只要知道数据库用户名就不需要密码或ident就能登录,建议不要在生产环境中使用。
reject
reject是拒绝认证
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- postgres访问认证配置文件pg_hba.conf
- 从pg_hba.conf文件谈谈postgresql的连接认证
- Postgresql pg_hba.conf配置文件小结
- PostgreSQL远程数据库连接 && PostgreSQL pg_hba.conf 文件简析
- PostgreSQL pg_hba.conf 文件简析【转】
- PostgreSQL pg_hba.conf 文件简析
- postgresql_pg_hba.conf 文件
- nginx 下使用laravel 需要配置.conf文件,否则无法访问指定路由(不知道说路由是否合适,刚学的小白,tp中对应的应该方法)
- 转来PostgreSQLpg_hba的配置文件,很有用
- PostgreSQL pg_hba.conf 文件解析以及忘记密码的处理方法
- nginx 下使用laravel 需要配置.conf文件,否则无法访问指定路由(不知道说路由是否合适,刚学的小白,tp中对应的应该方法)
- 关于postgre中的pg_hba.conf 文件
- postgresql 10 用SQL 读取pg_hba.conf文件的视图
- postgres启动服务器时missing or erroneous pg_hba.conf file
- postgresql_pg_hba.conf 文件
- Nginx (安装+ 配置域名+ 访问认证 +发布文件)
- [zz]pg_hba.conf 一种安全地配置策略
- postgresql pg_hba.conf 文件
- postgresql_pg_hba.conf 文件
- 04-postgresql-9.6.1安全管理之pg_hba.conf配置(2017-06-12)