openGauss學(xué)習(xí)筆記-99 openGauss 數(shù)據(jù)庫(kù)管理-管理數(shù)據(jù)庫(kù)安全-客戶端接入認(rèn)證之配置文件參考99.1 參數(shù)說(shuō)明99.2 認(rèn)證方式
openGauss學(xué)習(xí)筆記-99 openGauss 數(shù)據(jù)庫(kù)管理-管理數(shù)據(jù)庫(kù)安全-客戶端接入認(rèn)證之配置文件參考
99.1 參數(shù)說(shuō)明
表 1 參數(shù)說(shuō)明
| 參數(shù)名稱 | 描述 | 取值范圍 |
|---|---|---|
| local | 表示這條記錄只接受通過(guò)Unix域套接字進(jìn)行的連接。沒(méi)有這種類型的記錄,就不允許Unix域套接字的連接辜窑。只有在從服務(wù)器本機(jī)使用gsql連接且在不指定-h參數(shù)的情況下,才是通過(guò)Unix域套接字連接项戴。 | - |
| host | 表示這條記錄既接受一個(gè)普通的TCP/IP套接字連接,也接受一個(gè)經(jīng)過(guò)SSL加密的TCP/IP套接字連接槽惫。 | - |
| hostssl | 表示這條記錄只接受一個(gè)經(jīng)過(guò)SSL加密的TCP/IP套接字連接周叮。 | 用SSL進(jìn)行安全的連接辩撑,需要配置申請(qǐng)數(shù)字證書(shū)并配置相關(guān)參數(shù),詳細(xì)信息請(qǐng)參見(jiàn)用SSL進(jìn)行安全的TCP/IP連接仿耽。 |
| hostnossl | 表示這條記錄只接受一個(gè)普通的TCP/IP套接字連接合冀。 | - |
| DATABASE | 聲明記錄所匹配且允許訪問(wèn)的數(shù)據(jù)庫(kù)。 | all:表示該記錄匹配所有數(shù)據(jù)庫(kù)项贺。sameuser:表示如果請(qǐng)求訪問(wèn)的數(shù)據(jù)庫(kù)和請(qǐng)求的用戶同名君躺,則匹配。samerole:表示請(qǐng)求的用戶必須是與數(shù)據(jù)庫(kù)同名角色中的成員敬扛。samegroup:與samerole作用完全一致晰洒,表示請(qǐng)求的用戶必須是與數(shù)據(jù)庫(kù)同名角色中的成員朝抖。一個(gè)包含數(shù)據(jù)庫(kù)名的文件或者文件中的數(shù)據(jù)庫(kù)列表:文件可以通過(guò)在文件名前面加前綴@來(lái)聲明啥箭。文件中的數(shù)據(jù)庫(kù)列表以逗號(hào)或者換行符分隔。特定的數(shù)據(jù)庫(kù)名稱或者用逗號(hào)分隔的數(shù)據(jù)庫(kù)列表治宣。說(shuō)明:值replication表示如果請(qǐng)求一個(gè)復(fù)制鏈接急侥,則匹配,但復(fù)制鏈接不表示任何特定的數(shù)據(jù)庫(kù)侮邀。如需使用名為replication的數(shù)據(jù)庫(kù)坏怪,需在database列使用記錄“replication”作為數(shù)據(jù)庫(kù)名。 |
| USER | 聲明記錄所匹配且允許訪問(wèn)的數(shù)據(jù)庫(kù)用戶绊茧。 | all:表明該記錄匹配所有用戶铝宵。+用戶角色:表示匹配任何直接或者間接屬于這個(gè)角色的成員。說(shuō)明:+表示前綴符號(hào)华畏。一個(gè)包含用戶名的文件或者文件中的用戶列表:文件可以通過(guò)在文件名前面加前綴@來(lái)聲明鹏秋。文件中的用戶列表以逗號(hào)或者換行符分隔。特定的數(shù)據(jù)庫(kù)用戶名或者用逗號(hào)分隔的用戶列表亡笑。 |
| ADDRESS | 指定與記錄匹配且允許訪問(wèn)的IP地址范圍侣夷。 | 支持IPv4和IPv6,可以使用如下兩種形式來(lái)表示:IP地址/掩碼長(zhǎng)度仑乌。例如百拓,10.10.0.0/24IP地址子網(wǎng)掩碼。例如晰甚,10.10.0.0 255.255.255.0說(shuō)明:以IPv4格式給出的IP地址會(huì)匹配那些擁有對(duì)應(yīng)地址的IPv6連接衙传,比如127.0.0.1將匹配IPv6地址 ::ffff:127.0.0.1。 |
| METHOD | 聲明連接時(shí)使用的認(rèn)證方法厕九。 | 本產(chǎn)品支持如下幾種認(rèn)證方式蓖捶,詳細(xì)解釋請(qǐng)參見(jiàn)表2:trustrejectmd5(不推薦使用,默認(rèn)不支持止剖,可通過(guò)password_encryption_type參數(shù)配置)說(shuō)明:MD5加密算法安全性低腺阳,存在安全風(fēng)險(xiǎn)落君,建議使用更安全的加密算法。sha256sm3certgss(僅用于openGauss內(nèi)部節(jié)點(diǎn)間認(rèn)證)peer(僅用于local模式) |
99.2 認(rèn)證方式
表 2 認(rèn)證方式
| 認(rèn)證方式 | 說(shuō)明 |
|---|---|
| trust | 采用這種認(rèn)證模式時(shí)亭引,本產(chǎn)品只完全信任從服務(wù)器本機(jī)使用gsql且不指定-U參數(shù)的連接绎速,此時(shí)不需要口令。trust認(rèn)證對(duì)于單用戶工作站的本地連接是非常合適和方便的焙蚓,通常不適用于多用戶環(huán)境纹冤。如果想使用這種認(rèn)證方法,可利用文件系統(tǒng)權(quán)限限制對(duì)服務(wù)器的Unix域套接字文件的訪問(wèn)购公。要使用這種限制有兩個(gè)方法:設(shè)置參數(shù)unix_socket_permissions和unix_socket_group萌京。設(shè)置參數(shù)unix_socket_directory,將Unix域套接字文件放在一個(gè)經(jīng)過(guò)恰當(dāng)限制的目錄里宏浩。須知:設(shè)置文件系統(tǒng)權(quán)限只能Unix域套接字連接知残,它不會(huì)限制本地TCP/IP連接。為保證本地TCP/IP安全比庄,openGauss不允許遠(yuǎn)程連接使用trust認(rèn)證方法求妹。 |
| reject | 無(wú)條件地拒絕連接。常用于過(guò)濾某些主機(jī)佳窑。 |
| md5 | 要求客戶端提供一個(gè)md5加密的口令進(jìn)行認(rèn)證制恍。須知:MD5加密算法安全性低,存在安全風(fēng)險(xiǎn)神凑,建議使用更安全的加密算法净神。openGauss保留md5認(rèn)證和密碼存儲(chǔ),是為了便于第三方工具的使用(比如TPCC評(píng)測(cè)工具)溉委。 |
| sha256 | 要求客戶端提供一個(gè)sha256算法加密的口令進(jìn)行認(rèn)證鹃唯,該口令在傳送過(guò)程中結(jié)合salt(服務(wù)器發(fā)送給客戶端的隨機(jī)數(shù))的單向sha256加密,增強(qiáng)了安全性薛躬。 |
| sm3 | 要求客戶端提供一個(gè)sm3算法加密口令進(jìn)行認(rèn)證俯渤,該口令在傳送過(guò)程中結(jié)合salt(服務(wù)器發(fā)送給客戶端的隨機(jī)數(shù))的單項(xiàng)sm3的加密,增加了安全性型宝。 |
| cert | 客戶端證書(shū)認(rèn)證模式八匠,此模式需進(jìn)行SSL連接配置且需要客戶端提供有效的SSL證書(shū),不需要提供用戶密碼趴酣。須知:該認(rèn)證方式只支持hostssl類型的規(guī)則梨树。 |
| gss | 使用基于gssapi的kerberos認(rèn)證。須知:該認(rèn)證方式依賴kerberos server等組件岖寞,僅支持openGauss內(nèi)部通信認(rèn)證抡四。當(dāng)前版本暫不支持外部客戶端通過(guò)kerberos認(rèn)證連接。開(kāi)啟openGauss內(nèi)部kerberos認(rèn)證會(huì)使增加內(nèi)部節(jié)點(diǎn)建連時(shí)間,即影響首次涉及內(nèi)部建連的SQL操作性能指巡,內(nèi)部連接建立好后淑履, 后續(xù)操作不受影響。 |
| peer | 獲取客戶端所在操作系統(tǒng)用戶名藻雪,并檢查與數(shù)據(jù)庫(kù)初始用戶名是否一致秘噪。此方式只支持local模式本地連接,并支持通過(guò)配置pg_ident.conf建立操作系統(tǒng)用戶與數(shù)據(jù)庫(kù)用戶映射關(guān)系勉耀。假設(shè)操作系統(tǒng)用戶名為omm指煎,數(shù)據(jù)庫(kù)初始用戶為dbAdmin,在pg_hba.conf中配置local模式為peer認(rèn)證:local all all peer map=mymap其中map=mymap指定使用的用戶名映射便斥,并在pg_ident.conf中添加映射名稱為mymap的用戶名映射如下:# MAPNAME SYSTEM-USERNAME PG-USERNAME mymap omm dbAdmin說(shuō)明:通過(guò)gs_guc reload方式修改pg_hba.conf配置可以立即生效無(wú)需重啟數(shù)據(jù)庫(kù)至壤。直接編輯修改pg_ident.conf配置后下次連接時(shí)自動(dòng)生效無(wú)需重啟數(shù)據(jù)庫(kù)。 |
?? 點(diǎn)贊枢纠,你的認(rèn)可是我創(chuàng)作的動(dòng)力像街!
?? 收藏,你的青睞是我努力的方向京郑!
?? 評(píng)論宅广,你的意見(jiàn)是我進(jìn)步的財(cái)富葫掉!
image.png
