pg_hba.confFILEXác soi kèo bóng đá truoctran khách hàng được kiểm soát bởi một tệp cấu hình, theo truyền thống được đặt tênpg_hba.confvà được lưu trữ trong thư mục dữ soi kèo bóng đá truoctran của cụm cơ sở dữ soi kèo bóng đá truoctran. (HBAlà viết tắt của xác soi kèo bóng đá truoctran dựa trên máy chủ.) Mặc địnhpg_hba.confTệp được cài đặt khi thư mục dữ soi kèo bóng đá truoctran được khởi tạo bởiinitDB10701_10795HBA_FILETham số cấu hình.
Định dạng chung củapg_hba.confTệp là một tập hợp soi kèo bóng đá truoctran bản ghi, một trên mỗi dòng. soi kèo bóng đá truoctran dòng trống bị bỏ qua, như bất kỳ văn bản nào sau#Nhân vật bình luận. Hồ sơ không thể được tiếp tục trên các dòng. Một bản ghi được tạo thành từ một số trường được phân tách bằng không gian và/hoặc tab. Các trường có thể chứa không gian trắng nếu giá trị trường được trích dẫn kép. Trích dẫn một trong các từ khóa trong trường cơ sở dữ soi kèo bóng đá truoctran, người dùng hoặc địa chỉ (ví dụ:tất cảhoặcsao chép) Làm cho từ mất ý nghĩa đặc biệt của nó và chỉ phù hợp với cơ sở dữ soi kèo bóng đá truoctran, người dùng hoặc máy chủ với tên đó.
Mỗi bản ghi chỉ định loại kết nối, phạm vi địa chỉ IP của máy khách (nếu có liên quan cho loại kết nối), tên cơ sở dữ soi kèo bóng đá truoctran, tên người dùng và phương thức xác thực được sử dụng để kết nối khớp với các tham số này. Bản ghi đầu tiên với loại kết nối phù hợp, địa chỉ máy khách, cơ sở dữ soi kèo bóng đá truoctran được yêu cầu và tên người dùng được sử dụng để thực hiện xác thực. Không cómùa thuHànghoặcHồiSao lưuHồi12073_12209
Một bản ghi có thể có một số định dạng:
cục bộCơ sở dữ soi kèo bóng đá truoctranuserauth-method[12503_12517] chủ nhàCơ sở dữ soi kèo bóng đá truoctranuserĐịa chỉauth-method[auth-exptions] hostsslCơ sở dữ soi kèo bóng đá truoctranuserĐịa chỉauth-method[auth-options] hostnosslCơ sở dữ soi kèo bóng đá truoctranuserĐịa chỉauth-method[auth-exptions] hostgssencCơ sở dữ soi kèo bóng đá truoctranuserđịa chỉauth-method[auth-exptions] hostnogssenccơ sở dữ soi kèo bóng đá truoctranngười dùngđịa chỉauth-method[auth-options] chủ nhàCơ sở dữ soi kèo bóng đá truoctranuserIP-ADDRESSMặt nạ IPauth-method[auth-exptions] hostsslCơ sở dữ soi kèo bóng đá truoctranuserIP-ADDRESSMặt nạ IPauth-method[auth-exptions] hostnosslCơ sở dữ soi kèo bóng đá truoctranuserIP-ADDRESSMặt nạ IPauth-method[auth-options] hostgssencCơ sở dữ soi kèo bóng đá truoctranuserIP-ADDRESSMặt nạ IPauth-method[auth-exptions] hostnogssenccơ sở dữ soi kèo bóng đá truoctranuserIP-ADDRESSMặt nạ IPauth-method[auth-exptions]
Ý nghĩa của soi kèo bóng đá truoctran trường như sau:
cục bộBản ghi này phù hợp với soi kèo bóng đá truoctran lần thử kết nối bằng cách sử dụng soi kèo bóng đá truoctran ổ cắm miền Unix. Không có bản ghi của loại này, soi kèo bóng đá truoctran kết nối ổ cắm tên miền Unix không được phép.
hostBản ghi này phù hợp với soi kèo bóng đá truoctran lần thử kết nối được thực hiện bằng TCP/IP.hostRecords MatchSSLhoặc khôngSSLKết nối cố gắng cũng nhưGSSAPIđược mã hóa hoặc khôngGSSAPIsoi kèo bóng đá truoctran lần thử kết nối được mã hóa.
16820_16932Listen_addressesTham số cấu hình, vì hành vi mặc định là nghe soi kèo bóng đá truoctran kết nối TCP/IP chỉ trên địa chỉ loopback cục bộLocalhost.
hostsslBản ghi này phù hợp với soi kèo bóng đá truoctran lần thử kết nối được thực hiện bằng TCP/IP, nhưng chỉ khi kết nối được thực hiện vớiSSLMã hóa.
Để sử dụng tùy chọn này, máy chủ phải được xây dựng bằngSSLHỗ trợ. Hơn nữa,SSLphải được bật bằng cách đặtSSLtham số cấu hình (xemPhần 18.9Để biết thêm thông tin). Nếu không,hostsslBản ghi bị bỏ qua ngoại trừ việc ghi lại cảnh báo rằng nó không thể khớp với bất kỳ kết nối nào.
hostnosslLoại bản ghi này có hành vi ngược lại củahostssl; Nó chỉ khớp với soi kèo bóng đá truoctran lần thử kết nối được thực hiện trên TCP/IP không sử dụngSSL.
HostGssENCBản ghi này phù hợp với soi kèo bóng đá truoctran lần thử kết nối được thực hiện bằng TCP/IP, nhưng chỉ khi kết nối được thực hiện vớiGSSAPImã hóa.
Để sử dụng tùy chọn này, máy chủ phải được xây dựng bằngGSSAPIHỗ trợ. Nếu không,HostGssENCBản ghi bị bỏ qua ngoại trừ việc ghi lại cảnh báo rằng nó không thể khớp với bất kỳ kết nối nào.
hostnogssenc19015_19063HostGssENC; Nó chỉ khớp với soi kèo bóng đá truoctran lần thử kết nối được thực hiện trên TCP/IP không sử dụngGSSAPImã hóa.
Cơ sở dữ soi kèo bóng đá truoctranChỉ định tên cơ sở dữ soi kèo bóng đá truoctran nào bản ghi này phù hợp. Giá trịtất cảChỉ định rằng nó phù hợp với tất cả các cơ sở dữ soi kèo bóng đá truoctran. Giá trịSakeUserChỉ định rằng bản ghi phù hợp nếu cơ sở dữ soi kèo bóng đá truoctran được yêu cầu có cùng tên với người dùng được yêu cầu. Giá trịSameroleChỉ định rằng người dùng được yêu cầu phải là thành viên của vai trò có cùng tên với cơ sở dữ soi kèo bóng đá truoctran được yêu cầu. (giống nhaulà một lỗi thời nhưng vẫn được chấp nhận chính tảSamerole.) Superuser không được coi là thành viên của vai trò cho mục đích củaSamerole20036_20166sao chépChỉ định rằng bản ghi phù hợp nếu yêu cầu kết nối sao chép vật lý (lưu ý rằng các kết nối sao chép không chỉ định bất kỳ cơ sở dữ soi kèo bóng đá truoctran cụ thể nào). Nếu không, đây là tên của một cụ thểPostgreSQLCơ sở dữ soi kèo bóng đá truoctran. Nhiều tên cơ sở dữ soi kèo bóng đá truoctran có thể được cung cấp bằng cách tách chúng bằng dấu phẩy. Một tệp riêng biệt chứa tên cơ sở dữ soi kèo bóng đá truoctran có thể được chỉ định bằng cách trước tên tệp với@.
userChỉ định tên người dùng cơ sở dữ soi kèo bóng đá truoctran nào. Giá trịtất cảChỉ định rằng nó phù hợp với tất cả người dùng. Mặt khác, đây là tên của người dùng cơ sở dữ soi kèo bóng đá truoctran cụ thể hoặc tên nhóm đi trước+. (Nhớ lại rằng không có sự khác biệt soi kèo bóng đá truoctran sự giữa người dùng và nhóm trongPostgreSQL; Một+Mark soi kèo bóng đá truoctran sự có nghĩa làMạnhKết hợp bất kỳ vai trò nào là thành viên trực tiếp hoặc gián tiếp của vai trò này, trong khi tên không có+21397_21782@.
Địa chỉChỉ định địa chỉ máy khách (ES) mà bản ghi này khớp với nhau. Trường này có thể chứa tên máy chủ, phạm vi địa chỉ IP hoặc một trong soi kèo bóng đá truoctran từ khóa đặc biệt được đề cập bên dưới.
Phạm vi địa chỉ IP được chỉ định bằng cách sử dụng ký hiệu số tiêu chuẩn cho địa chỉ bắt đầu của phạm vi, sau đó là dấu gạch chéo (/) và ACIDRchiều dài mặt nạ. Độ dài mặt nạ cho biết số lượng soi kèo bóng đá truoctran bit bậc cao của địa chỉ IP máy khách phải khớp. soi kèo bóng đá truoctran bit ở bên phải của điều này phải bằng 0 trong địa chỉ IP đã cho. Không được có bất kỳ khoảng trắng nào giữa địa chỉ IP,/và chiều dài mặt nạ CIDR.
Ví dụ điển hình của phạm vi địa chỉ IPv4 được chỉ định theo cách này là172.20.143.89/32cho một máy chủ hoặc172.20.143.0/24Đối với một mạng nhỏ hoặc10.6.0.0/16cho một cái lớn hơn. Phạm vi địa chỉ IPv6 có thể trông giống như::1/128Đối với một máy chủ duy nhất (trong trường hợp này là địa chỉ vòng lặp IPv6) hoặcFE80 :: 7A31: C1FF: 0000: 0000/96Đối với một mạng nhỏ.0.0.0.0/0đại diện cho tất cả soi kèo bóng đá truoctran địa chỉ IPv4 và::0/0đại diện cho tất cả soi kèo bóng đá truoctran địa chỉ IPv6. Để chỉ định một máy chủ duy nhất, hãy sử dụng chiều dài mặt nạ là 32 cho IPv4 hoặc 128 cho IPv6. Trong một địa chỉ mạng, không bỏ qua soi kèo bóng đá truoctran số 0
Một mục được đưa ra ở định dạng IPv4 sẽ chỉ khớp với soi kèo bóng đá truoctran kết nối IPv4 và một mục được đưa ra ở định dạng IPv6 sẽ chỉ khớp với soi kèo bóng đá truoctran kết nối IPv6, ngay cả khi địa chỉ được biểu thị nằm trong phạm vi IPv4-in-IPv6. Lưu ý rằng soi kèo bóng đá truoctran mục ở định dạng IPv6 sẽ bị từ chối nếu thư viện C của hệ thống không có hỗ trợ cho soi kèo bóng đá truoctran địa chỉ IPv6.
Bạn cũng có thể viếttất cảĐể phù hợp với bất kỳ địa chỉ IP nào,SamehostĐể phù hợp với bất kỳ địa chỉ IP riêng của máy chủ hoặcSamenetĐể phù hợp với bất kỳ địa chỉ nào trong bất kỳ mạng con nào mà máy chủ được kết nối trực tiếp với.
Nếu tên máy chủ được chỉ định (bất cứ thứ gì không phải là phạm vi địa chỉ IP hoặc từ khóa đặc biệt được coi là tên máy chủ), tên đó được so sánh với kết quả của độ phân giải tên ngược của địa chỉ IP của máy khách (ví dụ: tra cứu DNS ngược, nếu DNS được sử dụng). So sánh tên máy chủ là trường hợp không nhạy cảm. Nếu có một trận đấu, thì độ phân giải tên chuyển tiếp (ví dụ: Tra cứu DNS chuyển tiếp) được soi kèo bóng đá truoctran hiện trên tên máy chủ để kiểm tra xem có bất kỳ địa chỉ nào mà nó giải quyết được bằng địa chỉ IP của máy khách hay không. Nếu cả hai hướng khớp, thì mục được coi là khớp. (Tên máy chủ được sử dụng trongpg_hba.conf24658_24960
Thông số kỹ thuật tên máy chủ bắt đầu bằng dấu chấm (.) khớp với hậu tố của tên máy chủ soi kèo bóng đá truoctran tế. Vì thế.example.comsẽ phù hợpfoo.example.com(nhưng không chỉVí dụ.com).
Khi tên máy chủ được chỉ định trongpg_hba.conf, bạn nên đảm bảo rằng độ phân giải tên đó là hợp lý nhanh chóng. Có thể là lợi thế để thiết lập bộ đệm độ phân giải tên cục bộ nhưNSCD. Ngoài ra, bạn có thể muốn bật tham số cấu hìnhlog_hostnameĐể xem tên máy chủ của máy khách thay vì địa chỉ IP trong nhật ký.
Những trường này không áp dụng chocục bộRecords.
25853_2649626517_26530Trong mỗi lần thử kết nối. Điều đó có thể khá chậm nếu nhiều tên được liệt kê. Và nếu có vấn đề về người giải quyết với một trong soi kèo bóng đá truoctran tên máy chủ, nó sẽ trở thành vấn đề của mọi người.
Ngoài ra, việc tra cứu ngược là cần thiết để soi kèo bóng đá truoctran hiện tính năng khớp hậu tố, bởi vì tên máy chủ máy khách soi kèo bóng đá truoctran tế cần được biết đến để phù hợp với nó với mẫu.
26922_27080
IP-ADDRESSMặt nạ IPHai trường này có thể được sử dụng thay thế choIP-ADDRESS/Mặt nạKý hiệu. Thay vì chỉ định độ dài mặt nạ, mặt nạ soi kèo bóng đá truoctran tế được chỉ định trong một cột riêng biệt. Ví dụ,255.0.0.0đại diện cho độ dài mặt nạ CIDR IPv4 là 8 và255.255.255.255đại diện cho chiều dài mặt nạ CIDR là 32.
Những trường này không áp dụng chocục bộRecords.
auth-methodChỉ định phương thức xác thực để sử dụng khi kết nối khớp với bản ghi này. soi kèo bóng đá truoctran lựa chọn có thể được tóm tắt ở đây; Chi tiết trongPhần 20.3. Tất cả soi kèo bóng đá truoctran tùy chọn là chữ thường và trường hợp được xử lý một cách nhạy cảm, vì vậy ngay cả soi kèo bóng đá truoctran từ viết tắt nhưLDAPphải được chỉ định là chữ thường.
TrustCho phép kết nối vô điều kiện. Phương pháp này cho phép bất kỳ ai có thể kết nối vớiPostgreSQLMáy chủ cơ sở dữ soi kèo bóng đá truoctran để đăng nhập như bất kỳPostgreSQLNgười dùng họ muốn, mà không cần mật khẩu hoặc bất kỳ xác soi kèo bóng đá truoctran nào khác. Nhìn thấyPhần 20.4Để biết chi tiết.
từ chốiTừ chối kết nối vô điều kiện. Điều này hữu ích choLọc ra”Một số máy chủ nhất định từ một nhóm, ví dụ Atừ chốidòng có thể chặn một máy chủ cụ thể kết nối, trong khi dòng sau này cho phép soi kèo bóng đá truoctran máy chủ còn lại trong một mạng cụ thể để kết nối.
Scram-Sha-256soi kèo bóng đá truoctran hiện xác soi kèo bóng đá truoctran Scram-Sha-256 để xác minh mật khẩu của người dùng. Nhìn thấyPhần 20.5Để biết chi tiết.
MD5soi kèo bóng đá truoctran hiện Xác soi kèo bóng đá truoctran Scram-Sha-256 hoặc MD5 để xác minh mật khẩu của người dùng. Nhìn thấyPhần 20.5Để biết chi tiết.
Mật khẩuYêu cầu khách hàng cung cấp mật khẩu không được mã hóa để xác thực. Vì mật khẩu được gửi trong văn bản rõ ràng qua mạng, điều này không nên được sử dụng trên soi kèo bóng đá truoctran mạng không tin cậy. Nhìn thấyPhần 20.5Để biết chi tiết.
GSSSử dụng GSSAPI để xác thực người dùng. Điều này chỉ có sẵn cho soi kèo bóng đá truoctran kết nối TCP/IP. Nhìn thấyPhần 20.6Để biết chi tiết. Nó có thể được sử dụng cùng với mã hóa GSSAPI.
SSPISử dụng SSPI để xác soi kèo bóng đá truoctran người dùng. Điều này chỉ có sẵn trên Windows. Nhìn thấyPhần 20.7Để biết chi tiết.
Nhận dạngLấy tên người dùng hệ điều hành của máy khách bằng cách liên hệ với máy chủ nhận dạng trên máy khách và kiểm tra xem nó có khớp với tên người dùng cơ sở dữ soi kèo bóng đá truoctran được yêu cầu không. Xác định xác thực chỉ có thể được sử dụng trên các kết nối TCP/IP. Khi được chỉ định cho các kết nối cục bộ, xác thực ngang hàng sẽ được sử dụng thay thế. Nhìn thấyPhần 20.8Để biết chi tiết.
PeerLấy tên người dùng hệ điều hành của khách hàng từ hệ điều hành và kiểm tra xem nó có khớp với tên người dùng cơ sở dữ soi kèo bóng đá truoctran được yêu cầu không. Điều này chỉ có sẵn cho các kết nối địa phương. Nhìn thấyPhần 20.9để biết chi tiết.
LDAPxác soi kèo bóng đá truoctran bằng cách sử dụngLDAPMáy chủ. Nhìn thấyPhần 20.10Để biết chi tiết.
RADIUSXác soi kèo bóng đá truoctran bằng máy chủ RADIUS. Nhìn thấyPhần 20.11Để biết chi tiết.
certXác soi kèo bóng đá truoctran bằng chứng chỉ máy khách SSL. Nhìn thấyPhần 20.12Để biết chi tiết.
PAMXác soi kèo bóng đá truoctran bằng dịch vụ Mô -đun xác soi kèo bóng đá truoctran có thể cắm (PAM) do hệ điều hành cung cấp. Nhìn thấyPhần 20.13để biết chi tiết.
BSDXác soi kèo bóng đá truoctran bằng dịch vụ xác soi kèo bóng đá truoctran BSD do hệ điều hành cung cấp. Nhìn thấyPhần 20,14Để biết chi tiết.
auth-exptionssauauth-methodTrường, có thể có (soi kèo bóng đá truoctran) trường của biểu mẫutên=giá trịChỉ định soi kèo bóng đá truoctran tùy chọn cho phương thức xác thực. Chi tiết về tùy chọn nào có sẵn cho soi kèo bóng đá truoctran phương thức xác thực xuất hiện bên dưới.
Ngoài soi kèo bóng đá truoctran tùy chọn dành riêng cho phương pháp được liệt kê bên dưới, còn có một tùy chọn xác thực độc lập với phương thứcclientCert, có thể được chỉ định trong bất kỳhostsslBản ghi. Tùy chọn này có thể được đặt thànhXác minh-CAhoặcxác minh-đầy đủ34801_34889xác minh-đầy đủNgoài ra soi kèo bóng đá truoctran thi rằngCN(tên chung) trong chứng chỉ khớp với tên người dùng hoặc ánh xạ áp dụng. Hành vi này tương tự nhưcertPhương thức xác soi kèo bóng đá truoctran (xemPhần 20.12) Nhưng cho phép ghép đôi chứng chỉ máy khách với bất kỳ phương thức xác soi kèo bóng đá truoctran nào hỗ trợhostsslMục nhập.
soi kèo bóng đá truoctran tệp được bao gồm bởi@35512_35636#, giống như trongpg_hba.confvà lồng nhau@Cấu trúc được cho phép. Trừ khi tên tệp sau@là một đường dẫn tuyệt đối, nó được soi kèo bóng đá truoctran hiện để liên quan đến thư mục chứa tệp tham chiếu.
35955_35967pg_hba.confBản ghi được kiểm tra tuần tự cho mỗi lần thử kết nối, thứ tự của soi kèo bóng đá truoctran bản ghi là đáng kể. Thông thường, soi kèo bóng đá truoctran bản ghi trước đó sẽ có soi kèo bóng đá truoctran tham số khớp kết nối chặt chẽ và soi kèo bóng đá truoctran phương thức xác thực yếu hơn, trong khi soi kèo bóng đá truoctran bản ghi sau này sẽ có soi kèo bóng đá truoctran tham số khớp lỏng hơn và soi kèo bóng đá truoctran phương thức xác thực mạnh hơn. Ví dụ: người ta có thể muốn sử dụngTrustXác thực cho soi kèo bóng đá truoctran kết nối TCP/IP cục bộ nhưng yêu cầu mật khẩu cho soi kèo bóng đá truoctran kết nối TCP/IP từ xa. Trong trường hợp này, một bản ghi chỉ địnhTrust36543_36705
Thepg_hba.confTệp được đọc khi khởi động và khi quá trình máy chủ chính nhận đượcSIGHUPTín hiệu. Nếu bạn chỉnh sửa tệp trên một hệ thống đang hoạt động, bạn sẽ cần báo hiệu cho Postmaster (sử dụngPG_CTL tải lại, Gọi hàm SQLpg_reload_conf ()hoặc sử dụngKILL -HUP) để đọc lại tệp.
Câu lệnh trước không đúng trên Microsoft Windows: Có, bất kỳ thay đổi nào trongpg_hba.confTệp được áp dụng ngay lập tức bởi soi kèo bóng đá truoctran kết nối mới tiếp theo.
Chế độ xem hệ thốngPG_HBA_FILE_RULEScó thể hữu ích cho soi kèo bóng đá truoctran thay đổi trước khi kiểm tra trướcpg_hba.confTệp hoặc để chẩn đoán soi kèo bóng đá truoctran vấn đề nếu tải tệp không có hiệu ứng mong muốn. Hàng trong chế độ xem với không nullERRORTrường biểu thị soi kèo bóng đá truoctran vấn đề trong soi kèo bóng đá truoctran dòng tương ứng của tệp.
Để kết nối với một cơ sở dữ soi kèo bóng đá truoctran cụ thể, người dùng không chỉ phải vượt quapg_hba.confKiểm tra, nhưng phải cóKết nốiĐặc quyền cho cơ sở dữ soi kèo bóng đá truoctran. Nếu bạn muốn hạn chế người dùng nào có thể kết nối với cơ sở dữ soi kèo bóng đá truoctran nào, thì thường dễ dàng kiểm soát điều này bằng cách cấp/thu hồiKết nốiĐặc quyền hơn là đặt soi kèo bóng đá truoctran quy tắc vàopg_hba.confMục nhập.
Một số ví dụ vềpg_hba.confMục nhập được hiển thị trongVí dụ 20.1. Xem phần tiếp theo để biết chi tiết về soi kèo bóng đá truoctran phương thức xác thực khác nhau.
Ví dụ 20.1. Ví dụpg_hba.confMục nhập
39041_43511