| PostgreSQL: soi kèo bóng đá truoctran liệu: 9.5: | |||
|---|---|---|---|
| Prev | UP | Chương 19. Xác thực khách hàng | Tiếp theo |
Xác thực khách hàng được kiểm soát bởi một soi kèo bóng đá truoctran cấu hình, theo truyền thống được đặt tênpg_hba.confvà được lưu trữ trong thư mục dữ soi kèo bóng đá truoctran của cụm cơ sở dữ soi kèo bóng đá truoctran. (HBAlà viết tắt của xác thực dựa trên máy chủ.) Mặc địnhpg_hba.confTệp được cài đặt khi thư mục dữ soi kèo bóng đá truoctran được khởi tạo bởiinitDB. Tuy nhiên, có thể đặt soi kèo bóng đá truoctran cấu hình xác thực ở nơi khác; XemHBA_FILETham số cấu hình.
Định dạng chung củapg_hba.confsoi kèo bóng đá truoctran là một tập hợp các bản ghi, một trên mỗi dòng. Các dòng trống bị bỏ qua, như bất kỳ văn bản nào sau#Nhân vật bình luận. Hồ sơ không thể được tiếp tục trên các dòng. Một bản ghi được tạo thành từ một số trường được phân tách bằng không gian và/hoặc tab. Các trường có thể chứa không gian trắng nếu giá trị trường được trích dẫn kép. Trích dẫn một trong các từ khóa trong trường cơ sở dữ soi kèo bóng đá truoctran, người dùng hoặc địa chỉ (ví dụ:tất cảhoặcsao chép) Làm cho từ mất ý nghĩa đặc biệt của nó và chỉ phù hợp với cơ sở dữ soi kèo bóng đá truoctran, người dùng hoặc máy chủ với tên đó.
Mỗi bản ghi chỉ định loại kết nối, phạm vi địa chỉ IP khách (nếu có liên quan cho loại kết nối), tên cơ sở dữ soi kèo bóng đá truoctran, tên người dùng và phương thức xác thực được sử dụng để kết nối khớp với các tham số này. Bản ghi đầu tiên với loại kết nối phù hợp, địa chỉ máy khách, cơ sở dữ soi kèo bóng đá truoctran được yêu cầu và tên người dùng được sử dụng để thực hiện xác thực. Không có"Fall-qua"hoặc"Sao lưu": Nếu một bản ghi được chọn và xác thực không thành công, soi kèo bóng đá truoctran bản ghi tiếp theo không được xem xét. Nếu không có bản ghi khớp, quyền truy cập bị từ chối.
Bản ghi có thể có một trong bảy định dạng
cục bộCơ sở dữ soi kèo bóng đá truoctran user auth-method[auth-exptions] chủ nhàCơ sở dữ soi kèo bóng đá truoctran user Địa chỉ auth-method[auth-exptions] hostsslCơ sở dữ soi kèo bóng đá truoctran user Địa chỉ auth-method[12368_12382] hostnosslCơ sở dữ soi kèo bóng đá truoctran user Địa chỉ auth-method[auth-exptions] chủ nhàCơ sở dữ soi kèo bóng đá truoctran user IP-ADDRESS Mặt nạ IP auth-method[auth-exptions] hostsslCơ sở dữ soi kèo bóng đá truoctran user IP-ADDRESS Mặt nạ IP auth-method[auth-exptions] hostnosslCơ sở dữ soi kèo bóng đá truoctran người dùng IP-ADDRESS Mặt nạ IP auth-method[auth-exptions]
Ý nghĩa của soi kèo bóng đá truoctran trường như sau:
Bản ghi này phù hợp với soi kèo bóng đá truoctran lần thử kết nối bằng cách sử dụng ổ cắm miền Unix. Không có bản ghi của loại này, soi kèo bóng đá truoctran kết nối ổ cắm tên miền Unix không được phép.
Bản ghi này phù hợp với soi kèo bóng đá truoctran lần thử kết nối được thực hiện bằng TCP/IP.hostBản ghi khớp với nhauSSLhoặc khôngSSLNỗ lực kết nối.
Lưu ý:Kết nối TCP/IP từ xa sẽ không thể xảy ra trừ khi máy chủ được bắt đầu với giá trị thích hợp choListen_addressesTham số cấu hình, vì hành vi mặc định là nghe soi kèo bóng đá truoctran kết nối TCP/IP chỉ trên địa chỉ loopback cục bộLocalhost.
14592_14695SSLMã hóa.
Để sử dụng tùy chọn này, máy chủ phải được xây dựng bằngSSLHỗ trợ. Hơn nữa,SSLPhải được bật tại thời gian bắt đầu máy chủ bằng cách đặtSSLTham số cấu hình (xemPhần 17.9Để biết thêm thông tin).
Loại bản ghi này có hành vi ngược lại củahostssl; Nó chỉ khớp với soi kèo bóng đá truoctran lần thử kết nối được thực hiện trên TCP/IP không sử dụngSSL.
Chỉ định tên cơ sở dữ soi kèo bóng đá truoctran nào bản ghi này phù hợp. Giá trịtất cảChỉ định rằng nó phù hợp với tất cả các cơ sở dữ soi kèo bóng đá truoctran. Giá trịSakeUserChỉ định rằng bản ghi phù hợp nếu cơ sở dữ soi kèo bóng đá truoctran được yêu cầu có cùng tên với người dùng được yêu cầu. Giá trịSameroleChỉ định rằng người dùng được yêu cầu phải là thành viên của vai trò có cùng tên với cơ sở dữ soi kèo bóng đá truoctran được yêu cầu. (giống nhaulà một lỗi thời nhưng vẫn được chấp nhận chính tảSamerole.) Superuser không được coi là thành viên của vai trò cho mục đích củaSameroleTrừ khi họ là thành viên rõ ràng của vai trò, trực tiếp hoặc gián tiếp, và không chỉ nhờ vào việc trở thành một siêu người dùng. Giá trịsao chép16249_16445PostgreSQLCơ sở dữ soi kèo bóng đá truoctran. Nhiều tên cơ sở dữ soi kèo bóng đá truoctran có thể được cung cấp bằng cách tách chúng bằng dấu phẩy. Một tệp riêng biệt chứa tên cơ sở dữ soi kèo bóng đá truoctran có thể được chỉ định bằng cách trước tên tệp với@.
Chỉ định tên người dùng cơ sở dữ soi kèo bóng đá truoctran nào. Giá trịtất cảChỉ định rằng nó phù hợp với tất cả người dùng. Mặt khác, đây là tên của người dùng cơ sở dữ soi kèo bóng đá truoctran cụ thể hoặc tên nhóm đi trước+. (Nhớ lại rằng không có sự khác biệt thực sự giữa người dùng và nhóm trongPostgreSQL; Một+Mark thực sự có nghĩa là"Kết hợp bất kỳ vai trò nào là thành viên trực tiếp hoặc gián tiếp của vai trò này"17273_17300+Mark chỉ phù hợp với vai trò cụ thể đó.) Đối với mục đích này, một siêu người dùng chỉ được coi là thành viên của vai trò nếu họ rõ ràng là thành viên của vai trò, trực tiếp hoặc gián tiếp, và không chỉ nhờ vào siêu nhân. Nhiều tên người dùng có thể được cung cấp bằng cách tách chúng bằng dấu phẩy. Một soi kèo bóng đá truoctran riêng có chứa tên người dùng có thể được chỉ định bằng cách trước tên soi kèo bóng đá truoctran với@.
Chỉ định địa chỉ máy khách (ES) mà bản ghi này phù hợp. Trường này có thể chứa tên máy chủ, phạm vi địa chỉ IP hoặc một trong soi kèo bóng đá truoctran từ khóa đặc biệt được đề cập bên dưới.
Phạm vi địa chỉ IP được chỉ định bằng cách sử dụng ký hiệu số tiêu chuẩn cho địa chỉ bắt đầu của phạm vi, sau đó là dấu gạch chéo (/) và ACIDRchiều dài mặt nạ. Độ dài mặt nạ cho biết số lượng soi kèo bóng đá truoctran bit bậc cao của địa chỉ IP máy khách phải khớp. soi kèo bóng đá truoctran bit ở bên phải của điều này phải bằng 0 trong địa chỉ IP đã cho. Không được có bất kỳ khoảng trắng nào giữa địa chỉ IP,/và chiều dài mặt nạ CIDR.
Ví dụ điển hình của phạm vi địa chỉ IPv4 được chỉ định theo cách này là172.20.143.89/32cho một máy chủ hoặc172.20.143.0/24Đối với một mạng nhỏ hoặc10.6.0.0/16cho một cái lớn hơn. Phạm vi địa chỉ IPv6 có thể trông giống như::1/128Đối với một máy chủ duy nhất (trong trường hợp này là địa chỉ vòng lặp IPv6) hoặcFE80 :: 7A31: C1FF: 0000: 0000/96cho một mạng nhỏ.0.0.0.0/0đại diện cho tất cả soi kèo bóng đá truoctran địa chỉ IPv4 và::0/0đại diện cho tất cả soi kèo bóng đá truoctran địa chỉ IPv6. Để chỉ định một máy chủ duy nhất, hãy sử dụng chiều dài mặt nạ là 32 cho IPv4 hoặc 128 cho IPv6. Trong một địa chỉ mạng, không bỏ qua soi kèo bóng đá truoctran số 0
Một mục được đưa ra ở định dạng IPv4 sẽ chỉ khớp với soi kèo bóng đá truoctran kết nối IPv4 và một mục được đưa ra ở định dạng IPv6 sẽ chỉ khớp với soi kèo bóng đá truoctran kết nối IPv6, ngay cả khi địa chỉ được biểu thị nằm trong phạm vi IPv4-in-IPv6. Lưu ý rằng soi kèo bóng đá truoctran mục ở định dạng IPv6 sẽ bị từ chối nếu thư viện C của hệ thống không có hỗ trợ cho soi kèo bóng đá truoctran địa chỉ IPv6.
Bạn cũng có thể viếttất cảĐể phù hợp với bất kỳ địa chỉ IP nào,SamehostĐể phù hợp với bất kỳ địa chỉ IP riêng của máy chủ hoặcSamenetĐể phù hợp với bất kỳ địa chỉ nào trong bất kỳ mạng con nào mà máy chủ được kết nối trực tiếp với.
Nếu tên máy chủ được chỉ định (bất cứ thứ gì không phải là phạm vi địa chỉ IP hoặc từ khóa đặc biệt được coi là tên máy chủ), tên đó được so sánh với kết quả của độ phân giải tên ngược của địa chỉ IP của máy khách (ví dụ: Tra cứu DNS ngược, nếu DNS được sử dụng). So sánh tên máy chủ là trường hợp không nhạy cảm. Nếu có một trận đấu, thì độ phân giải tên chuyển tiếp (ví dụ: Tra cứu DNS chuyển tiếp) được thực hiện trên tên máy chủ để kiểm tra xem có bất kỳ địa chỉ nào mà nó giải quyết được bằng địa chỉ IP của máy khách hay không. Nếu cả hai hướng khớp, thì mục được coi là khớp. (Tên máy chủ được sử dụng trongpg_hba.confnên là một giải quyết địa chỉ của địa chỉ của địa chỉ IP của khách hàng, nếu không dòng sẽ không được khớp. Một số cơ sở dữ soi kèo bóng đá truoctran tên máy chủ cho phép liên kết địa chỉ IP với nhiều tên máy chủ, nhưng hệ điều hành sẽ chỉ trả về một tên máy chủ khi được yêu cầu giải quyết địa chỉ IP.)
Thông số kỹ thuật tên máy chủ bắt đầu bằng dấu chấm (.) khớp với hậu tố của tên máy chủ thực tế. Vì thế.example.comSẽ phù hợpfoo.example.com(nhưng không chỉVí dụ.com).
Khi tên máy chủ được chỉ định trongpg_hba.conf, bạn nên đảm bảo rằng độ phân giải tên đó là nhanh chóng. Có thể là lợi thế để thiết lập bộ đệm độ phân giải tên cục bộ nhưNSCD. Ngoài ra, bạn có thể muốn bật tham số cấu hìnhlog_hostnameĐể xem tên máy chủ của máy khách thay vì địa chỉ IP trong nhật ký.
Trường này chỉ áp dụng chohost, hostsslvàhostnosslRecords.
Hai trường này có thể được sử dụng thay thế choIP-ADDRESS/Mặt nạ-dàiKý hiệu. Thay vì chỉ định độ dài mặt nạ, mặt nạ thực tế được chỉ định trong một cột riêng biệt. Ví dụ,255.0.0.0đại diện cho độ dài mặt nạ CIDR IPv4 là 8 và255.255.255.255đại diện cho chiều dài mặt nạ CIDR là 32.
soi kèo bóng đá truoctran trường này chỉ áp dụng chohost, hostsslvàhostnosslRecords.
Chỉ định phương thức xác thực để sử dụng khi kết nối khớp với bản ghi này. soi kèo bóng đá truoctran lựa chọn có thể được tóm tắt ở đây; Chi tiết trongPhần 19.3.
Cho phép kết nối vô điều kiện. Phương pháp này cho phép bất kỳ ai có thể kết nối vớiPostgreSQLMáy chủ cơ sở dữ soi kèo bóng đá truoctran để đăng nhập như bất kỳPostgreSQLNgười dùng họ muốn, mà không cần mật khẩu hoặc bất kỳ xác thực nào khác. Nhìn thấyPhần 19.3.1Để biết chi tiết.
Từ chối kết nối vô điều kiện. Điều này hữu ích cho"Lọc ra"Một số máy chủ nhất định từ một nhóm, ví dụ Atừ chối24546_24678
Yêu cầu khách hàng cung cấp mật khẩu được giảm gấp đôi để xác thực. Nhìn thấyPhần 19.3.2Để biết chi tiết.
Yêu cầu khách hàng cung cấp mật khẩu không được mã hóa để xác thực. Vì mật khẩu được gửi trong văn bản rõ ràng qua mạng, điều này không nên được sử dụng trên soi kèo bóng đá truoctran mạng không tin cậy. Nhìn thấyPhần 19.3.2Để biết chi tiết.
Sử dụng GSSAPI để xác thực người dùng. Điều này chỉ có sẵn cho soi kèo bóng đá truoctran kết nối TCP/IP. Nhìn thấyPhần 19.3.3Để biết chi tiết.
Sử dụng SSPI để xác thực người dùng. Điều này chỉ có sẵn trên Windows. Nhìn thấyPhần 19.3.4Để biết chi tiết.
25682_25984Phần 19.3.5Để biết chi tiết.
Lấy tên người dùng hệ điều hành của khách hàng từ hệ điều hành và kiểm tra xem nó có phù hợp với tên người dùng cơ sở dữ soi kèo bóng đá truoctran được yêu cầu không. Điều này chỉ có sẵn cho các kết nối địa phương. Nhìn thấyPhần 19.3.6Để biết chi tiết.
Xác thực bằng cách sử dụngLDAPMáy chủ. Nhìn thấyPhần 19.3.7Để biết chi tiết.
Xác thực bằng máy chủ RADIUS. Nhìn thấyPhần 19.3.8Để biết chi tiết.
Xác thực bằng chứng chỉ máy khách SSL. Nhìn thấyPhần 19.3.9Để biết chi tiết.
26964_27074Phần 19.3.10để biết chi tiết.
sauauth-methodTrường, có thể có (soi kèo bóng đá truoctran) trường của biểu mẫutên=giá trịChỉ định soi kèo bóng đá truoctran tùy chọn cho phương thức xác thực. Chi tiết về tùy chọn nào có sẵn cho soi kèo bóng đá truoctran phương thức xác thực xuất hiện bên dưới.
Các soi kèo bóng đá truoctran được bao gồm bởi@Cấu trúc được đọc dưới dạng danh sách soi kèo bóng đá truoctran tên, có thể được phân tách bằng khoảng trắng hoặc dấu phẩy. Nhận xét được giới thiệu bởi#, giống như trongpg_hba.confvà lồng nhau@Cấu trúc được cho phép. Trừ khi tên soi kèo bóng đá truoctran sau@là một đường dẫn tuyệt đối, nó được thực hiện để liên quan đến thư mục chứa soi kèo bóng đá truoctran tham chiếu.
kể từpg_hba.confBản ghi được kiểm tra tuần tự cho mỗi lần thử kết nối, thứ tự của soi kèo bóng đá truoctran bản ghi là đáng kể. Thông thường, soi kèo bóng đá truoctran bản ghi trước đó sẽ có soi kèo bóng đá truoctran tham số khớp kết nối chặt chẽ và soi kèo bóng đá truoctran phương thức xác thực yếu hơn, trong khi soi kèo bóng đá truoctran bản ghi sau này sẽ có soi kèo bóng đá truoctran tham số khớp lỏng hơn và soi kèo bóng đá truoctran phương thức xác thực mạnh hơn. Ví dụ: người ta có thể muốn sử dụngTrustXác thực cho soi kèo bóng đá truoctran kết nối TCP/IP cục bộ nhưng yêu cầu mật khẩu cho soi kèo bóng đá truoctran kết nối TCP/IP từ xa. Trong trường hợp này, một bản ghi chỉ địnhTrustXác thực cho soi kèo bóng đá truoctran kết nối từ 127.0.0.1 sẽ xuất hiện trước khi bản ghi xác thực xác thực mật khẩu cho phạm vi rộng hơn soi kèo bóng đá truoctran địa chỉ IP khách hàng được phép.
Thepg_hba.conf28849_28921SIGHUPTín hiệu. Nếu bạn chỉnh sửa soi kèo bóng đá truoctran trên một hệ thống đang hoạt động, bạn sẽ cần báo hiệu cho Postmaster (sử dụngPG_CTL tải lại, Gọi hàm SQLpg_reload_conf ()hoặc sử dụngKill -hup) để làm cho nó đọc lại soi kèo bóng đá truoctran.
Tip:Để kết nối với một cơ sở dữ soi kèo bóng đá truoctran cụ thể, người dùng không chỉ phải vượt quapg_hba.confKiểm tra, nhưng phải cóKết nốiĐặc quyền cho cơ sở dữ soi kèo bóng đá truoctran. Nếu bạn muốn hạn chế người dùng nào có thể kết nối với cơ sở dữ soi kèo bóng đá truoctran nào, thì thường dễ dàng kiểm soát điều này bằng cách cấp/thu hồikết nốiĐặc quyền hơn là đặt soi kèo bóng đá truoctran quy tắc vàopg_hba.confMục nhập.
Một số ví dụ vềpg_hba.confMục nhập được hiển thị trongVí dụ 19-1. Xem phần tiếp theo để biết chi tiết về soi kèo bóng đá truoctran phương thức xác thực khác nhau.