PostgreSQL pg_hba.conf 配置
PostgreSQL pg_hba.conf 配置及相关参数说明
1)pg_hba.conf 的行记录与规则的先后顺序有关,每一次连接尝试都会顺序地检查 pg_hba.conf 记录,所以这些记录的顺序非常关键。
通常,靠前的记录有比较严的连接匹配参数和比较弱的认证方法,而靠后的记录有比较松的匹配参数和比较强的认证方法。
例如:我们希望对本地 TCP/IP 连接使用 trust 认证,而对远程 TCP/IP 连接要求口令,这种情况下为来自于 127.0.0.1 的连接指定 trust 认证的记录将出现在为一个更宽范围的客户端 IP 地址指定口令认证的记录前面。
典型配置一:
# TYPE DATABASE USER ADDRESS METHOD
local all all trust
host all all 127.0.0.1/32 trust
host all all ::1/128 trust
host all all 0.0.0.0/0 md5
host all all ::0/0 md5
# Allow replication connections from localhost, by a user with the replication privilege.
典型配置二(流复制场景):
# TYPE DATABASE USER ADDRESS METHOD
local all all trust
host all all 127.0.0.1/32 trust
host all all ::1/128 trust
host all all 0.0.0.0/0 md5
host all all ::0/0 md5
# Allow replication connections from localhost, by a user with the replication privilege.
local replication replica trust
host replication replica 127.0.0.1/32 trust
host replication replica ::1/128 trust
host replication all 192.168.1.0/24 md5
2)配置说明
Type:
TYPE 表示主机类型,值可能为:
local :使用unix-domain的socket连接
host :使用TCP/IP socket连接,允许客户端以SSL连接、也允许客户以非SSL连接
hostssl :使用SSL加密的TCP/IP socket连接,仅允许客户端以SSL连接
hostnossl :使用非SSL的TCP/IP socket连接, 仅允许客户端以非SSL连接
DATABASE:
DATABASE 表示数据库名,值可能为:
all :表示所有数据库、但不包括 replication(即配置"all"并不会匹配"replication")
sameuser :表示请求建立连接的用户名与数据库名同名
samerole :表示请求建立连接的用户必须是请求建立连接的数据库的同名角色的成员;PostgreSQL中,superuser可以访问所有对象,但是此处,superuser并不被认为是samerole的成员,除非显示的指定superuser为samerole的成员
replication :表示匹配一个物理复制(physical replication)连接
数据库名称:指定特定的数据库名称,如果要指定多个数据库则用逗号分割,例如:db01,db02,db03
@filePath :指定一个文件路径,文件中包含数据库的名称
USER:
USER 表示用户名,值可能为:
all :表示匹配所有用户
+groupName :表示匹配的组的成员,包括直接成员或者间接成员
角色名称 :指定特定的角色名称,多个角色之间用逗号隔开
@filePath :和DATABASE一样,也可以将配置放到文件中,文件名加上前缀@,文件中包含角色名称
ADDRESS:
ADDRESS 表示匹配的客户端地址列表,可以指定hostname、IP范围,或者下面提到的任何一个关键字:
all :all表示匹配所有的IP地址
samehost :表示匹配数据库服务器所具备的IP
samenet :表示匹配数据服务器所在的子网内的IP
ip :标识匹配的地址或地址范围,可以是一个IP地址范围,由IP地址和CIDR掩码组成,也可以是hostname。例如:
127.0.0.1/32
::1/128
192.168.1.100/32
pgmaster
192.168.1.0/24
0.0.0.0/0
::0/0
METHOD:
METHOD 密码加密策略,部分常见值如下:
ident :ident是Linux下PostgreSQL默认的local TCP/IP socket连接认证方式。
凡是能正确登录服务器的OS用户(注意:不是数据库用户)就能使用本用户映射的数据库用户不需密码登录数据库。用户映射文件为pg_ident.conf,这个文件记录着与操作系统用户匹配的数据库用户,如果某操作系统用户在本文件中没有映射用户,则默认的映射数据库用户与操作系统用户同名。
例如:服务器上有名为user1的OS用户,同时数据库上也有同名的数据库用户,user1登录操作系统后可以直接输入psql,以user1数据库用户身份登录数据库且不需密码。如果输入psql -U username登录数据库报“username ident 认证失败”的错误,而数据库用户明明已经create user创建过了,原因就是使用了ident认证方式却没有同名的操作系统用户或没有相应的映射用户。必须要在 pg_ident.conf 中添加映射用户才可以。
host all all 127.0.0.1/32 ident username //这里username表示某个没有建立映射的用户,不写默认可以用postgres用户登录,postgres用户安装的时候自动创建postgres用户,postgres相当于是数据库的管理员账号。
trust :无条件地允许连接。这个METHOD允许任何可以与PostgreSQL数据库服务器连接的用户以他们期望的任意PostgreSQL数据库用户身份进行连接,连接不需要口令。一般测试时使用。
md5 :将口令以md5方式加密后再发送密码。md5是常用的密码认证方式,如果你不使用ident,最好使用md5。密码是以md5形式传送给数据库,较安全,且不需建立同名的操作系统用户。
password :要求客户端提供一个未加密的口令进行认证。 因为口令是以明文形式在网络上传递的, 所以我们不应该在不安全的网络上使用这个方式。建议测试用。
reject :联接无条件拒绝。常用于从一个组中过滤/屏蔽某些主机。
peer :peer使用unix socket会话(客户端和数据库必须在同一个操作系统中)。pg_hba.conf指定local权限为peer,可以使用系统用户,但是也是要在postgres下面创建这个用户的,只是不需要输入密码而已。
peer认证方式通过从内核获得客户端的操作系统用户名并把它用作被允许的数据库用户名(和可选的用户名映射)来工作。这种方法只在本地连接上支持。
peer支持配置选项:map,允许在系统和数据库用户名之间映射。例如:
peer最大的好处就是可以在系统用户下直接输入psql + db,就能开始工作,不用指定用户名,无需密码,但是省不了必须在postgres下面创建用户的过程。
配置举例1:local all all peer