pgsql数据库 pg_hba.conf 中 METHOD 的说明

pg_hba.conf 文件是pgsql用于配置访问权限的配置文件,  内容如下:

##############begin####################

 

#   TYPE    DATABASE     USER       ADDRESS            METHOD

# "local" is for Unix domain socket connections only
local all all peer
# IPv4 local connections:
    host        all                all          127.0.0.1/32         ident
    host        all                all          0.0.0.0/0              md5
# IPv6 local connections:
    host        all                all           ::1/128               ident

 

############## end ####################

其中最后一个字段个METHOD,让我比较困惑,现整理如下:

ident是Linux下PostgreSQL默认的local认证方式,

获取客户的操作系统名(对于 TCP/IP 联接,用户的身份是通过与运行在客户端上的 ident 服务器联接进行判断的,对于本地联接,它是从操作系统获取的。) 然后检查一下,看看用户是否允许以要求的数据库用户进行联接, 方法是参照在 ident 关键字后面声明的映射。 

凡是能正确登录服务器的操作系统用户(注:不是数据库用户)就能使用本用户映射的数据库用户不需密码登录数据库。用户映射文件为pg_ident.conf,这个文件记录着与操作系统用户匹配的数据库用户,如果某操作系统用户在本文件中没有映射用户,则默认的映射数据库用户与操作系统用户同名。比如,服务器上有名为user1的操作系统用户,同时数据库上也有同名的数据库用户,user1登录操作系统后可以直接输入psql,以user1数据库用户身份登录数据库且不需密码。很多初学者都会遇到psql -U username登录数据库却出现“username ident 认证失败”的错误,明明数据库用户已经createuser。原因就在于此,使用了ident认证方式,却没有同名的操作系统用户或没有相应的映射用户。解决方案:在pg_ident.conf中添加映射用户  

host        all                all          127.0.0.1/32         ident  username      // username表示某个没有建立映射的用户  ,不写默认可以用postgres用户登录,postgres用户安装的时候自动创建,相当于mysql的root用户

 

md5是常用的密码认证方式,如果你不使用ident,最好使用md5。密码是以md5形式传送给数据库,较安全,且不需建立同名的操作系统用户。

比如客户端pgAdmin III 需要连接数据库就需要配置

host        all                all          0.0.0.0/0              md5

 

trust
无条件地允许联接。这个方法允许任何可以与PostgreSQL 数据库服务器联接的用户以他们期望的任意 PostgreSQL 数据库用户身份进行联接,而不需要口令。建议测试用

 

reject
联接无条件拒绝。常用于从一个组中"过滤"某些主机。

 

crypt

要求客户端提供一个 crypt() 加密的口令用于认证。 7.2 以前的客户端只能支持 crypt。 对于 7.2 以及以后的客户端,我们建议使用 md5。

 

password
要求客户端提供一个未加密的口令进行认证。 因为口令是以明文形式在网络上传递的, 所以我们不应该在不安全的网络上使用这个方式。建议测试用

 

krb4
用 Kerberos V4 认证用户。只有在进行 TCP/IP 联接的时候才能用。  (译注:Kerberos,"克尔波洛斯",故希腊神话冥王哈得斯的多头看门狗。 Kerberos 是 MIT 开发出来的基与对称加密算法的认证协议和/或密钥交换方法。 其特点是需要两个不同用途的服务器,一个用于认证身份, 一个用于通道两端用户的密钥交换。同时 Kerberos 对网络时间同步要求比较高,以防止回放攻击,因此通常伴随 NTP 服务。)

 

krb5
用 Kerberos V5 认证用户。只有在进行 TCP/IP 联接的时候才能用。  (译注:Kerberos V5 是上面 V4 的改良,主要是不再依赖 DES 算法, 同时增加了一些新特性。)

 

pam
使用操作系统提供的可插入的认证模块服务 (Pluggable Authentication Modules) (PAM)来认证。

 

posted on 2016-05-27 16:24  mywebnumber  阅读(1273)  评论(0编辑  收藏  举报