PostgreSQL中允许哪些IP的机器能够访问数据库是由配置文件pg_hba.conf控制的,通过配置该文件,能够指定哪些ip可以访问,哪些ip不可以访问,以及访问的认证方式。hba是host-based authentication的缩写。
原文地址: https:///blogDetail.php?id=77 initdb在初始化数据目录的时候,会生成一个默认的pg_hba.conf文件。pg_hba.conf文件格式由多条记录组成,每条记录占一行,#开头为注释,这些记录控制着客户端访问数据库的权限和认证方式。 先看一个PostgreSQL默认生成的pg_hba.conf文件示例,如下: # TYPE DATABASE USER ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all all trust
# IPv4 local connections:
host all all 127.0.0.1/32 trust
# IPv6 local connections:
host all all ::1/128 trust
# Allow replication connections from localhost, by a user with the
# replication privilege.
local replication all trust
host replication all 127.0.0.1/32 trust
host replication all ::1/128 trust
1. 语法local <dbname> <user> <auth-method> [auth-options] host <dbname> <user> <ip/masklen> <auth-method> [auth-options] 例子: 本地socket连接 local all all trust IPv4本地连接 host all all 127.0.0.1/32 trust 允许所有IP使用md5加密的口令访问 host all all 0.0.0.0/0 md5 2. 字段取值详解2.1 第一个字段,主机类型local,匹配本地socket方式连接数据库 host,匹配TCP/IP网络协议连接,包括SSL和非SSL hostssl,匹配TCP/IP网络协议连接,必须是SSL加密的连接 hostnossl,匹配TCP/IP网络协议连接,必须非SSL加密的
2.2 第二个字段,数据库名称一行记录的第二个字段,用于设置一个数据库名称,设置all表示可以匹配任何数据库,设置为replication表示允许流复制,而不是一个名叫“replication”的数据库。 2.3 第三个字段,用户名称一行记录的第三个字段,表示一个用户名称,设置为all,匹配所有用户。 2.4 第四个字段,IP地址一行记录的第四个字段,<ip/masklen>表示允许哪些IP地址来访问,也可以匹配ip段,如192.168.56.0/24。配置为0.0.0.0/0 表示匹配任意IP。 2.5 第五个字段,认证方式一行记录的第五个字段,表示验证方法,常用的有trust,reject,md5,ident等。 trust,无条件的允许连接,不需要密码或其他认证 reject,无条件的拒绝连接 md5,要求客户端提供一个MD5加密的口令进行认证 password,要求客户端提供一个未加密的口令进行认证 gss,用GSSAPI认证用户 sspi,用SSPI认证用户 krb5,用Kerberos V5认证用户 ident,允许客户端上的特定操作系统用户连接到数据库 ldap,用LDAP服务器认证 radius,用RADIUS服务器认证 cert,用SSL客户端证书认证 pam,用操作系统提供的可插入认证模块服务(PAM)来认证
2.6 第六个字段,认证选项一行记录的第六个字段,[auth-options] 表示认证选项,也可以不指定。
注: 修改pg_hba.conf配置文件后,需要重新加载生效。 service postgresql reload 或者 pg_ctl reload -D data_dir 或者 select pg_reload_conf();
|