身份验证是数据库服务器建立客户端身份的过程,并通过扩展确定是否允许客户端应用程序(或运行客户端应用程序的用户)与所请求的数据库用户名连接。可以基于(客户端)主机地址,数据库和用户来选择用于认证特定客户端连接的方法.
SSL主机验证
客户端和服务器都可以相互提供SSL证书。分别在客户端和服务器端设置.
使用SSL主机验证的优点:
提供更强的身份验证.
防止其他计算机假装成服务器再读取客户端发送的密码.
防止"中间人"攻击.
客户端加密
客户端必须加密数据,才可以将加密好的数据发到数据库服务器上.
数据在发送到服务器之前在客户端上加密。
数据库结果必须在使用之前在客户端上解密。
pg_hba.conf文件
客户端身份验证由pg_hba.conf配置文件控制。存储在数据库的数据目录中.
记录方式如下:
连接类型 数据库名称 用户名 客户端IP地址范围 用于匹配这些参数的连接的身份验证方法连接类型:
local: 匹配使用Unix域套接字的连接尝试。
host: 匹配使用TCP/IP进行的连接尝试,host记录匹配SSL或非SSL连接尝试。.
hostssl: 匹配使用TCP/IP进行的连接尝试,仅限使用SSL加密进行连接时。
hostnossl: 仅匹配通过TCP/IP进行的不使用SSL的连接尝试.
database: 记录匹配的数据库名称. all指定匹配所有数据库。可以通过用逗号分隔来提供多个数据库名称。
user: 匹配的数据库用户名. 用逗号分隔来提供多个用户名.
address: 匹配的客户端计算机地址.可包括主机名或IP地址范围。 0.0.0.0/0表示所有IPv4地址,::0/0表示所有IPv6地址.
身份验证方法:记录匹配时要使用的身份验证方法。
trust: 允许无条件连接,允许所有连接,无需密码和其他身份验证。
reject: 无条件拒绝连接.
scram-sha-256: 执行SCRAM-SHA-256身份验证以验证用户的密码.
MD5: 执行SCRAM-SHA-256或MD5身份验证以验证用户的密码。
password: 要求客户端提供未加密的密码以进行身份验证。网络明文传送,不安全。
gss: 使用GSSAPI对用户进行身份验证。这仅适用于TCP/IP连接.
ident: 与客户端的ident服务器获取客户端主机的用户名。并检查它是否与请求的数据库用户名匹配。Ident身份验证只能用于TCP/IP连接。
peer: 从操作系统获取主机名,仅适用于本地连接.
cert: 使用SSL客户端证书进行身份验证.
pam: 使用操作系统提供的可插入身份验证模块(PAM)服务进行身份验证.
ident用户名
配置文件:pg_ident.conf
记录格式
MAPNAME SYSTEM-USERNAME PG-USERNAME用户名映射在ident映射文件中定义.
认证方法
信任认证:
在与服务器的连接上有足够的操作系统级保护时,才应使用.
trust如果使用文件系统权限限制对服务器的Unix域套接字文件的访问,则可以在多用户计算机上使用.
密码认证
scram-sha-256身份认证:
防止密码嗅探不受信任的连接,并支持以加密的哈希形式在服务器上存储密码.
md5:
防止密码嗅探并避免以明文形式在服务器上存储密码.
优选选择基于SCRAM的身份验证。password 明文形式发送密码,连接受SSL加密保护才可使用,每个数据库用户的密码都存储在pg_authid系统目录中.
GSSAPI身份验证
GSSAPI提供了一种用于支持它的系统自动认证(单点登录)。身份验证本身是安全的.除非使用SSL。构建PostgreSQL时必须启用GSSAPI支持。
身份验证:
ident身份验证方法的工作原理是从身份服务器获取客户端的操作系统用户名,并将其用作允许的数据库用户名,在TCP/IP连接上受支持.
对等身份验证:
对等身份验证方法的工作原理是从内核获取客户端的操作系统用户名,并将其用作允许的数据库用户名.仅在本地连接时支持。
证书认证:
使用SSL客户端证书执行身份验证.
使用此身份验证方法时,服务器将要求客户端提供有效的可信证书。没有密码提示将被发送到客户端。cn证书的(公共名称)属性将与请求的数据库用户名进行比较,如果匹配,则允许登录.
每日英语7
What's your phone number?
My phone number is 414-382-9657.
Call me!
Okay!
We're friends?
Yes, friends.
How are you?
I'm good. And you?
Thank you!
You're welcome!