pg_hba.confFILEXác cách đọc kèo bóng đá khách hàng được kiểm soát bởi một tệp cấu hình, theo truyền thống được đặt tênpg_hba.confvà được lưu trữ trong thư mục dữ cách đọc kèo bóng đá của cụm cơ sở dữ cách đọc kèo bóng đá. (HBAlà viết tắt của xác cách đọc kèo bóng đá dựa trên máy chủ.) Mặc địnhpg_hba.confTệp được cài đặt khi thư mục dữ cách đọc kèo bóng đá được khởi tạo bởiinitDB. Tuy nhiên, có thể đặt tệp cấu hình xác cách đọc kèo bóng đá ở nơi khác;HBA_FILETham số cấu hình.
Định dạng chung củapg_hba.confTệp là một tập hợp các bản ghi, một trên mỗi dòng. Các dòng trống bị bỏ qua, như bất kỳ văn bản nào sau#Nhân vật bình luận. Một bản ghi có thể được tiếp tục vào dòng tiếp theo bằng cách kết thúc dòng cách đọc kèo bóng đá một dấu gạch chéo ngược.tất cảhoặcsao chép) Làm cho từ mất ý nghĩa đặc biệt của nó và chỉ phù hợp với cơ sở dữ cách đọc kèo bóng đá, người dùng hoặc máy chủ với tên đó. Tiếp tục dòng chao đảo áp dụng ngay cả trong văn bản hoặc nhận xét được trích dẫn.
Mỗi bản ghi chỉ định loại kết nối, phạm vi địa chỉ IP của máy khách (nếu có liên quan cho loại kết nối), tên cơ sở dữ cách đọc kèo bóng đá, tên người dùng và phương thức xác thực được sử dụng để kết nối khớp với các tham số này. Bản ghi đầu tiên với loại kết nối phù hợp, địa chỉ máy khách, cơ sở dữ cách đọc kèo bóng đá được yêu cầu và tên người dùng được sử dụng để thực hiện xác thực.Hồimùa thuhoặcSao lưuHồi: Nếu một bản ghi được chọn và xác cách đọc kèo bóng đá không thành công, các bản ghi tiếp theo không được xem xét. Nếu không có bản ghi khớp, quyền truy cập bị từ chối.
Một bản ghi có thể có một số định dạng:
cục bộCơ sở dữ cách đọc kèo bóng đáuserauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserĐịa chỉauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserđịa chỉauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserđịa chỉauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserĐịa chỉauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserĐịa chỉauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserIP-ADDRESSMặt nạ IPauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserIP-ADDRESSMặt nạ IPauth-method[auth-options]Cơ sở dữ cách đọc kèo bóng đáuserIP-ADDRESSMặt nạ IPauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserIP-ADDRESSMặt nạ IPauth-method[auth-exptions]Cơ sở dữ cách đọc kèo bóng đáuserIP-ADDRESSMặt nạ IPauth-method[auth-exptions]
Ý nghĩa của các trường như sau:
cục bộBản ghi này phù hợp cách đọc kèo bóng đá các lần thử kết nối bằng ổ cắm tên miền Unix. Không có bản ghi của loại này, các kết nối ổ cắm tên miền Unix không được phép.
hostBản ghi này phù hợp cách đọc kèo bóng đá các lần thử kết nối được thực hiện bằng TCP/IP.hostRecords MatchSSLhoặc khôngSSLKết nối cố gắng cũng nhưGSSAPIđược mã hóa hoặc khôngGSSAPICác lần thử kết nối được mã hóa.
Kết nối TCP/IP từ xa sẽ không thể xảy ra trừ khi máy chủ được bắt đầu cách đọc kèo bóng đá giá trị thích hợp choListen_addressesTham số cấu hình, vì hành vi mặc định là nghe các kết nối TCP/IP chỉ trên địa chỉ loopback cục bộLocalhost.
hostsslBản ghi này phù hợp cách đọc kèo bóng đá các lần thử kết nối được thực hiện bằng TCP/IP, nhưng chỉ khi kết nối được thực hiện cách đọc kèo bóng đáSSLmã hóa.
Để sử dụng tùy chọn này, máy chủ phải được xây dựng bằngSSLHỗ trợ. Hơn nữa,SSLphải được bật bằng cách đặtSSLtham số cấu hình (xemPhần 19.9Để biết thêm thông tin). Nếu không,hostsslBản ghi bị bỏ qua ngoại trừ việc ghi lại cảnh báo rằng nó không thể khớp cách đọc kèo bóng đá bất kỳ kết nối nào.
hostnosslLoại bản ghi này có hành vi ngược lại củahostssl; Nó chỉ khớp cách đọc kèo bóng đá các lần thử kết nối được thực hiện trên TCP/IP không sử dụngSSL.
HostgssENCBản ghi này phù hợp cách đọc kèo bóng đá các lần thử kết nối được thực hiện bằng TCP/IP, nhưng chỉ khi kết nối được thực hiện cách đọc kèo bóng đáGSSAPImã hóa.
Để sử dụng tùy chọn này, máy chủ phải được xây dựng bằngGSSAPIHỗ trợ. Nếu không,HostGssENCBản ghi bị bỏ qua ngoại trừ việc ghi lại cảnh báo rằng nó không thể khớp cách đọc kèo bóng đá bất kỳ kết nối nào.
hostnogssencLoại bản ghi này có hành vi ngược lại củaHostGssENC; Nó chỉ khớp cách đọc kèo bóng đá các lần thử kết nối được thực hiện trên TCP/IP không sử dụngGSSAPImã hóa.
Cơ sở dữ cách đọc kèo bóng đáChỉ định tên cơ sở dữ cách đọc kèo bóng đá nào bản ghi này phù hợp. Giá trịtất cảChỉ định rằng nó phù hợp với tất cả các cơ sở dữ cách đọc kèo bóng đá. Giá trịSoriluserChỉ định rằng bản ghi phù hợp nếu cơ sở dữ cách đọc kèo bóng đá được yêu cầu có cùng tên với người dùng được yêu cầu. Giá trịSameroleChỉ định rằng người dùng được yêu cầu phải là thành viên của vai trò có cùng tên với cơ sở dữ cách đọc kèo bóng đá được yêu cầu. (giống nhaulà một lỗi thời nhưng vẫn được chấp nhận chính tảSamerole.) Superuser không được coi là thành viên của vai trò cho mục đích củaSameroleTrừ khi họ là thành viên rõ ràng của vai trò, trực tiếp hoặc gián tiếp, và không chỉ nhờ vào việc trở thành một siêu người dùng. Giá trịsao chépChỉ định rằng bản ghi phù hợp nếu kết nối sao chép vật lý được yêu cầu, tuy nhiên, nó không khớp với các kết nối sao chép logic. Lưu ý rằng các kết nối sao chép vật lý không chỉ định bất kỳ cơ sở dữ cách đọc kèo bóng đá cụ thể nào trong khi các kết nối sao chép logic chỉ định nó.PostgreSQLCơ sở dữ cách đọc kèo bóng đá. Nhiều tên cơ sở dữ cách đọc kèo bóng đá có thể được cung cấp bằng cách tách chúng bằng dấu phẩy.@.
Người dùngChỉ định tên người dùng cơ sở dữ cách đọc kèo bóng đá nào phù hợp với. Giá trịtất cảChỉ định rằng nó phù hợp với tất cả người dùng. Mặt khác, đây là tên của người dùng cơ sở dữ cách đọc kèo bóng đá cụ thể hoặc tên nhóm đi trước+. (Nhớ lại rằng không có sự khác biệt cách đọc kèo bóng đá sự giữa người dùng và nhóm trongPostgreSQL; Một+Mark cách đọc kèo bóng đá sự có nghĩa làKết hợp bất kỳ vai trò nào là thành viên trực tiếp hoặc gián tiếp của vai trò này, trong khi tên không có+Mark chỉ phù hợp cách đọc kèo bóng đá vai trò cụ thể đó.) Đối cách đọc kèo bóng đá mục đích này, một siêu nhân chỉ được coi là thành viên của vai trò nếu họ rõ ràng là thành viên của vai trò, trực tiếp hoặc gián tiếp, và không chỉ nhờ vào siêu nhân. Nhiều tên người dùng có thể được cung cấp bằng cách tách chúng bằng dấu phẩy.@.
Địa chỉChỉ định địa chỉ máy khách (ES) mà bản ghi này khớp cách đọc kèo bóng đá nhau. Trường này có thể chứa tên máy chủ, phạm vi địa chỉ IP hoặc một trong các từ khóa đặc biệt được đề cập bên dưới.
Phạm vi địa chỉ IP được chỉ định bằng cách sử dụng ký hiệu số tiêu chuẩn cho địa chỉ bắt đầu của phạm vi, sau đó là một dấu gạch chéo (/) và ACIDRchiều dài mặt nạ. Độ dài mặt nạ cho biết số lượng các bit bậc cao của địa chỉ IP máy khách phải khớp./và chiều dài mặt nạ CIDR.
Ví dụ điển hình của phạm vi địa chỉ IPv4 được chỉ định theo cách này là172.20.143.89/32cho một máy chủ hoặc172.20.143.0/24Đối cách đọc kèo bóng đá một mạng nhỏ hoặc10.6.0.0/16cho một cái lớn hơn. Phạm vi địa chỉ IPv6 có thể trông giống như::1/128Đối cách đọc kèo bóng đá một máy chủ duy nhất (trong trường hợp này là địa chỉ vòng lặp IPv6) hoặcFE80 :: 7A31: C1FF: 0000: 0000/96Đối cách đọc kèo bóng đá một mạng nhỏ.0.0.0.0/0đại diện cho tất cả các địa chỉ IPv4 và::0/0đại diện cho tất cả các địa chỉ IPv6. Để chỉ định một máy chủ duy nhất, hãy sử dụng chiều dài mặt nạ là 32 cho IPv4 hoặc 128 cho IPv6.
Một mục được đưa ra ở định dạng IPv4 sẽ chỉ khớp cách đọc kèo bóng đá các kết nối IPv4 và một mục được đưa ra ở định dạng IPv6 sẽ chỉ khớp cách đọc kèo bóng đá các kết nối IPv6, ngay cả khi địa chỉ được biểu diễn nằm trong phạm vi IPv4-in-IPv6. Lưu ý rằng các mục ở định dạng IPv6 sẽ bị từ chối nếu thư viện C của hệ thống không có hỗ trợ cho các địa chỉ IPv6.
Bạn cũng có thể viếttất cảĐể phù hợp cách đọc kèo bóng đá bất kỳ địa chỉ IP nào,SamehostĐể phù hợp cách đọc kèo bóng đá bất kỳ địa chỉ IP riêng của máy chủ hoặcSamenetĐể phù hợp cách đọc kèo bóng đá bất kỳ địa chỉ nào trong bất kỳ mạng con nào mà máy chủ được kết nối trực tiếp cách đọc kèo bóng đá.
Nếu tên máy chủ được chỉ định (bất cứ thứ gì không phải là phạm vi địa chỉ IP hoặc từ khóa đặc biệt được coi là tên máy chủ), tên đó được so sánh cách đọc kèo bóng đá kết quả của độ phân giải tên ngược của địa chỉ IP của máy khách (ví dụ: tra cứu DNS ngược, nếu DNS được sử dụng). So sánh tên máy chủ là trường hợp không nhạy cảm.pg_hba.conf24604_24906
Thông số kỹ thuật tên máy chủ bắt đầu bằng dấu chấm (.) khớp cách đọc kèo bóng đá hậu tố của tên máy chủ thực tế. Vì thế.example.comsẽ phù hợpfoo.example.com(nhưng không chỉVí dụ.com).
Khi tên máy chủ được chỉ định trongpg_hba.conf, bạn nên đảm bảo rằng độ phân giải tên đó là nhanh chóng. Có thể là lợi thế để thiết lập bộ đệm độ phân giải tên cục bộ nhưNSCD. Ngoài ra, bạn có thể muốn bật tham số cấu hìnhlog_hostnameĐể xem tên máy chủ của máy khách thay vì địa chỉ IP trong nhật ký.
Những trường này không áp dụng chocục bộRecords.
Người dùng đôi khi tự hỏi tại sao tên máy chủ được xử lý theo cách dường như phức tạp này, cách đọc kèo bóng đá hai độ phân giải tên bao gồm cả tra cứu ngược địa chỉ IP của khách hàng. Điều này làm phức tạp việc sử dụng tính năng trong trường hợp mục nhập DNS ngược của khách hàng không được thiết lập hoặc mang lại một số tên máy chủ không mong muốn.pg_hba.confTrong mỗi lần thử kết nối. Điều đó có thể khá chậm nếu nhiều tên được liệt kê.
Ngoài ra, việc tra cứu ngược là cần thiết để thực hiện tính năng khớp hậu tố, bởi vì tên máy chủ máy khách thực tế cần được biết đến để khớp cách đọc kèo bóng đá nó cách đọc kèo bóng đá mẫu.
26868_27026
IP-ADDRESSMặt nạ IPHai trường này có thể được sử dụng thay thế choIP-ADDRESS/Mặt nạKý hiệu. Thay vì chỉ định độ dài mặt nạ, mặt nạ cách đọc kèo bóng đá tế được chỉ định trong một cột riêng biệt.255.0.0.0đại diện cho độ dài mặt nạ CIDR IPv4 là 8 và255.255.255.255đại diện cho chiều dài mặt nạ CIDR là 32.
Những trường này không áp dụng chocục bộRecords.
auth-methodChỉ định phương thức xác thực để sử dụng khi kết nối khớp cách đọc kèo bóng đá bản ghi này. Các lựa chọn có thể được tóm tắt ở đây;Phần 21.3. Tất cả các tùy chọn là chữ thường và trường hợp được xử lý một cách nhạy cảm, vì vậy ngay cả các từ viết tắt nhưLDAPphải được chỉ định là chữ thường.
TrustCho phép kết nối vô điều kiện. Phương pháp này cho phép bất kỳ ai có thể kết nối cách đọc kèo bóng đáPostgreSQLMáy chủ cơ sở dữ cách đọc kèo bóng đá để đăng nhập như bất kỳPostgreSQLNgười dùng họ muốn, mà không cần mật khẩu hoặc bất kỳ xác cách đọc kèo bóng đá nào khác. Nhìn thấyPhần 21.4Để biết chi tiết.
từ chốiTừ chối kết nối vô điều kiện. Điều này hữu ích choLọc ra”Một số máy chủ nhất định từ một nhóm, ví dụ Atừ chốidòng có thể chặn một máy chủ cụ thể kết nối, trong khi dòng sau này cho phép các máy chủ còn lại trong một mạng cụ thể để kết nối.
Scram-Sha-256cách đọc kèo bóng đá hiện xác cách đọc kèo bóng đá Scram-Sha-256 để xác minh mật khẩu của người dùng. Nhìn thấyPhần 21.5Để biết chi tiết.
MD5cách đọc kèo bóng đá hiện Xác cách đọc kèo bóng đá Scram-Sha-256 hoặc MD5 để xác minh mật khẩu của người dùng. Nhìn thấyPhần 21.5Để biết chi tiết.
Mật khẩuYêu cầu khách hàng cung cấp mật khẩu không được mã hóa để xác cách đọc kèo bóng đá. Vì mật khẩu được gửi trong văn bản rõ ràng qua mạng, điều này không nên được sử dụng trên các mạng không tin cậy.Phần 21.5Để biết chi tiết.
GSSSử dụng GSSAPI để xác cách đọc kèo bóng đá người dùng. Điều này chỉ có sẵn cho các kết nối TCP/IP.Phần 21.6Để biết chi tiết. Nó có thể được sử dụng cùng cách đọc kèo bóng đá mã hóa GSSAPI.
SSPISử dụng SSPI để xác cách đọc kèo bóng đá người dùng. Điều này chỉ có sẵn trên Windows.Phần 21.7Để biết chi tiết.
Nhận dạngLấy tên người dùng hệ điều hành của máy khách bằng cách liên hệ với máy chủ nhận dạng trên máy khách và kiểm tra xem nó có khớp với tên người dùng cơ sở dữ cách đọc kèo bóng đá được yêu cầu không. Xác định xác thực chỉ có thể được sử dụng trên các kết nối TCP/IP.Phần 21.8Để biết chi tiết.
PeerLấy tên người dùng hệ điều hành của khách hàng từ hệ điều hành và kiểm tra xem nó có phù hợp với tên người dùng cơ sở dữ cách đọc kèo bóng đá được yêu cầu không. Điều này chỉ có sẵn cho các kết nối địa phương.Phần 21.9Để biết chi tiết.
LDAPXác cách đọc kèo bóng đá bằng cách sử dụngLDAPMáy chủ. Nhìn thấyPhần 21.10Để biết chi tiết.
RADIUSXác cách đọc kèo bóng đá bằng máy chủ RADIUS. Nhìn thấyPhần 21.11Để biết chi tiết.
certXác cách đọc kèo bóng đá bằng chứng chỉ máy khách SSL. Nhìn thấyPhần 21.12để biết chi tiết.
PAMXác cách đọc kèo bóng đá bằng dịch vụ Mô -đun xác cách đọc kèo bóng đá có thể cắm (PAM) do hệ điều hành cung cấp. Nhìn thấyPhần 21.13Để biết chi tiết.
BSDXác cách đọc kèo bóng đá bằng dịch vụ xác cách đọc kèo bóng đá BSD được cung cấp bởi hệ điều hành. Nhìn thấyPhần 21,14Để biết chi tiết.
auth-exptionssauauth-methodTrường, có thể có (các) trường của biểu mẫutên=giá trịChỉ định các tùy chọn cho phương thức xác cách đọc kèo bóng đá. Chi tiết về tùy chọn nào có sẵn cho các phương thức xác cách đọc kèo bóng đá xuất hiện bên dưới.
Ngoài các tùy chọn dành riêng cho phương pháp được liệt kê bên dưới, còn có một tùy chọn xác cách đọc kèo bóng đá độc lập về phương phápclientCert, có thể được chỉ định trong bất kỳhostsslBản ghi. Tùy chọn này có thể được đặt thànhXác minh-CAhoặcxác minh-đầy đủ. Cả hai tùy chọn đều yêu cầu máy khách trình bày chứng chỉ SSL (đáng tin cậy) hợp lệ, trong khixác minh-đầy đủNgoài ra cách đọc kèo bóng đá thi rằngCN(tên chung) trong chứng chỉ khớp cách đọc kèo bóng đá tên người dùng hoặc ánh xạ áp dụng. Hành vi này tương tự nhưcertPhương thức xác cách đọc kèo bóng đá (xemPhần 21.12) nhưng cho phép ghép đôi chứng chỉ máy khách cách đọc kèo bóng đá bất kỳ phương thức xác thực nào hỗ trợhostsslMục nhập.
Trên bất kỳ bản ghi nào bằng cách sử dụng xác cách đọc kèo bóng đá chứng chỉ máy khách (tức là một người sử dụngcertPhương thức xác cách đọc kèo bóng đá hoặc một phương thức sử dụngclientCertTùy chọn), bạn có thể chỉ định phần nào của thông tin chứng chỉ máy khách để khớp bằng cách sử dụngclientNameTùy chọn. Tùy chọn này có thể có một trong hai giá trị.clientName = CN, là mặc định, tên người dùng được khớp cách đọc kèo bóng đá chứng chỉTên chung (CN). Nếu thay vào đó bạn chỉ địnhclientName = dnTên người dùng được khớp cách đọc kèo bóng đá toàn bộTên phân biệt (DN)của chứng chỉ. Tùy chọn này có lẽ được sử dụng tốt nhất kết hợp cách đọc kèo bóng đá bản đồ tên người dùng.DNinRFC 2253Định dạng. Để xemDNcủa chứng chỉ máy khách ở định dạng này, làm
openSSL X509 -in myclient.crt -noout -subject -nameopt rfc2253 | sed "s/^chủ đề = //"
Cần phải thực hiện khi sử dụng tùy chọn này, đặc biệt là khi sử dụng khớp biểu thức chính quy cách đọc kèo bóng đáDN.
Các tệp được bao gồm bởi@Cấu trúc được đọc dưới dạng danh sách các tên, có thể được phân tách bằng khoảng trắng hoặc dấu phẩy. Nhận xét được giới thiệu bởi#, giống như trongpg_hba.confvà lồng nhau@Cấu trúc được cho phép. Trừ khi tên tệp sau@là một đường dẫn tuyệt đối, nó được cách đọc kèo bóng đá hiện để liên quan đến thư mục chứa tệp tham chiếu.
kể từpg_hba.confBản ghi được kiểm tra tuần tự cho mỗi lần thử kết nối, thứ tự của các bản ghi là đáng kể. Thông thường, các bản ghi trước đó sẽ có các tham số khớp kết nối chặt chẽ và các phương thức xác cách đọc kèo bóng đá yếu hơn, trong khi các bản ghi sau này sẽ có các tham số khớp lỏng hơn và các phương thức xác cách đọc kèo bóng đá mạnh hơn.TrustXác cách đọc kèo bóng đá cho các kết nối TCP/IP cục bộ nhưng yêu cầu mật khẩu cho các kết nối TCP/IP từ xa. Trong trường hợp này, một bản ghi chỉ địnhTrust37844_38006
Thepg_hba.confTệp được đọc khi khởi động và khi quy trình máy chủ chính nhận đượcSIGHUPTín hiệu. Nếu bạn chỉnh sửa tệp trên một hệ thống đang hoạt động, bạn sẽ cần báo hiệu cho Postmaster (sử dụngPG_CTL tải lại, Gọi hàm SQLpg_reload_conf ()hoặc sử dụngKill -hup) để đọc lại tệp.
Câu lệnh trước không đúng trên Microsoft Windows: Có, bất kỳ thay đổi nào trongpg_hba.confTệp được áp dụng ngay lập tức bởi các kết nối mới tiếp theo.
Chế độ xem hệ thốngPG_HBA_FILE_RULEScó thể hữu ích cho các thay đổi trước khi kiểm tra trướcpg_hba.confTệp hoặc để chẩn đoán các vấn đề nếu tải tệp không có hiệu ứng mong muốn. Hàng trong chế độ xem cách đọc kèo bóng đá không nullERRORTrường biểu thị các vấn đề trong các dòng tương ứng của tệp.
Để kết nối với một cơ sở dữ cách đọc kèo bóng đá cụ thể, người dùng không chỉ phải vượt quapg_hba.confKiểm tra, nhưng phải cóKết nốiĐặc quyền cho cơ sở dữ cách đọc kèo bóng đá. Nếu bạn muốn hạn chế người dùng nào có thể kết nối với cơ sở dữ cách đọc kèo bóng đá nào, thì thường dễ dàng kiểm soát điều này bằng cách cấp/thu hồiKết nốiĐặc quyền hơn là đặt các quy tắc vàopg_hba.confMục nhập.
Một số ví dụ vềpg_hba.confMục nhập được hiển thị trongVí dụ 21.1. Xem phần tiếp theo để biết chi tiết về các phương thức xác cách đọc kèo bóng đá khác nhau.
Ví dụ 21.1. Ví dụpg_hba.confMục nhập
# Cho phép bất kỳ người dùng nào trên hệ thống cục bộ kết nối với bất kỳ cơ sở dữ cách đọc kèo bóng đá nào với
Nếu bạn thấy bất cứ điều gì trong tài cách đọc kèo bóng đá không chính xác, không khớpMẫu nàyĐể báo cáo vấn đề tài cách đọc kèo bóng đá.