PostgreSQL的访问控制（pg_hba.conf）

9.4英文文档&＃xff1a;http://www.postgresql.org/docs/9.4/static/auth-pg-hba-conf.html

9.3中文文档&＃xff1a;http://58.58.27.50:8079/doc/html/9.3.1_zh/auth-pg-hba-conf.html

参考&＃xff1a;http://database.51cto.com/art/201108/286176.htm

  在PostgreSQL数据库中&＃xff0c;配置文件(通常名为pg_hba.conf)负责控制客户端认证&＃xff08;也就是设置PostgreSQL允许哪些IP的及其访问&＃xff09;&＃xff0c; 它存放在数据库集群的数据目录里。HBA的意思是"host-based authentication"&＃xff0c; 也就是基于主机的认证。在initdb初始化数据目录的时候&＃xff0c; 它会安装一个缺省的pg_hba.conf文件。不过我们也可以把认证配置文件放在其它地方&＃xff1b; 参阅hba_file配置参数。

  常用的pg_hba.conf配置&＃xff1a;

# TYPE    DATABASE   USER     CIDR-ADDRESS            METHOD  
# "local" is for Unix domain socket connections only  local   all      all                             ident  
# IPv4 local connections:  host    all      all     127.0.0.1/32            md5  
# IPv6 local connections:  host    all      all    ::1/128               md5

  TYPE定义了多种连接PostgreSQL的方式&＃xff0c;分别是&＃xff1a;“local”使用本地unix套接字&＃xff0c;“host”使用TCP/IP连接&＃xff08;包括SSL和非SSL&＃xff09;&＃xff0c;“host”结合“IPv4地址”使用IPv4方式&＃xff0c;结合“IPv6地址”则使用IPv6方式&＃xff0c;“hostssl”只能使用SSL TCP/IP连接&＃xff0c;“hostnossl”不能使用SSL TCP/IP连接。

  DATABASE指定哪个数据库&＃xff0c;多个数据库&＃xff0c;库名间以逗号分隔。“all”只有在没有其他的符合条目时才代表“所有”&＃xff0c;如果有其他的符合条目则代表“除了该条之外的”&＃xff0c;因为“all”的优先级最低。如下例&＃xff1a;

local      db1      user1          reject  
local      all      all            ident

  这两条都是指定local访问方式&＃xff0c;因为前一条指定了特定的数据库db1&＃xff0c;所以后一条的all代表的是除了db1之外的数据库&＃xff0c;同理用户的all也是这个道理。

  USER 指定哪个数据库用户&＃xff08;PostgreSQL正规的叫法是角色&＃xff0c;role&＃xff09;。多个用户以逗号分隔。

  CIDR-ADDRESS 项local方式不必填写&＃xff0c;该项可以是IPv4地址或IPv6地址&＃xff0c;可以定义某台主机或某个网段。

  IP 地址用标准的带有CIDR掩码长度的点分十进制声明。 掩码长度表示客户端 IP 地址必须匹配的高位二进制位数。在给出的 IP 地址里&＃xff0c; 这个长度的右边的二进制位应该为零。在 IP 地址、/、 CIDR 掩码长度之间不能有空白。

  典型的这种方式指定的IP地址范围举例&＃xff1a;

  172.20.143.89/32表示一个主机&＃xff0c; 

  172.20.143.0/24表示一个小子网&＃xff08;172.20.143.0-172.20.143.255&＃xff09;&＃xff0c;

  10.6.0.0/16 表示一个大子网(10.6.0.0-10.6.255.255)。

  0.0.0.0/0代表所有IPv4地址&＃xff0c;

  ::/0代表所有IPv6地址。

  要声明单个主机&＃xff0c;给 IPv4 地址声明 CIDR 掩码 32 &＃xff0c;给 IPv6 地址声明 128 。 不要在地址中省略结尾的 0 。

  METHOD 指定如何处理客户端的认证。常用的有ident&＃xff0c;md5&＃xff0c;password&＃xff0c;trust&＃xff0c;reject。

  ident是Linux下PostgreSQL默认的local认证方式&＃xff0c;凡是能正确登录服务器的操作系统用户&＃xff08;注&＃xff1a;不是数据库用户&＃xff09;就能使用本用户映射的数据库用户不需密码登录数据库。用户映射文件为pg_ident.conf&＃xff0c;这个文件记录着与操作系统用户匹配的数据库用户&＃xff0c;如果某操作系统用户在本文件中没有映射用户&＃xff0c;则默认的映射数据库用户与操作系统用户同名。比如&＃xff0c;服务器上有名为user1的操作系统用户&＃xff0c;同时数据库上也有同名的数据库用户&＃xff0c;user1登录操作系统后可以直接输入psql&＃xff0c;以user1数据库用户身份登录数据库且不需密码。

   很多初学者都会遇到psql -U username登录数据库却出现“username ident 认证失败”的错误&＃xff0c;明明数据库用户已经createuser。原因就在于此&＃xff0c;使用了ident认证方式&＃xff0c;却没有同名的操作系统用户或没有相应的映射用户。解决方案&＃xff1a;1、在pg_ident.conf中添加映射用户&＃xff1b;2、改变认证方式。

   md5是常用的密码认证方式&＃xff0c;如果你不使用ident&＃xff0c;最好使用md5。密码是以md5形式传送给数据库&＃xff0c;较安全&＃xff0c;且不需建立同名的操作系统用户。

  password是以明文密码传送给数据库&＃xff0c;建议不要在生产环境中使用。

  trust是只要知道数据库用户名就不需要密码或ident就能登录&＃xff0c;建议不要在生产环境中使用。reject是拒绝认证。

   本地使用psql登录数据库&＃xff0c;是以unix套接字的方式&＃xff0c;附合local方式。

   使用PGAdmin3或php登录数据库&＃xff0c;不论是否本地均是以TCP/IP方式&＃xff0c;附合host方式。如果是本地&＃xff08;数据库地址localhost&＃xff09;&＃xff0c;CIDR-ADDRESS则为127.0.0.1/32。

   例如&＃xff1a;

1、允许本地使用PGAdmin3登录数据库&＃xff0c;数据库地址localhost&＃xff0c;用户user1&＃xff0c;数据库user1db&＃xff1a;

host  user1db  user1     127.0.0.1/32   md5


2、允许10.1.1.0~10.1.1.255网段登录数据库&＃xff1a;

host  all    all     10.1.1.0/24     md5


3、信任192.168.1.10登录数据库&＃xff1a;

host  all    all     192.168.1.10/32    trust

注意&＃xff1a;1.pg_hba.conf修改后需要reload或者重启服务后才起效。

    使用pg_ctl reload重新读取pg_hba.conf文件&＃xff0c;如果pg_ctl找不到数据库&＃xff0c;则用-D /.../pgsql/data/指定数据库目录&＃xff0c;或export PGDATA&＃61;/.../pgsql/data/　导入环境变量。

    2.还需要配置postgresql.conf 中的listen_address&＃61;*时&＃xff0c;才能通过TCP/IP访问数据库。

    PostgreSQL默认只监听本地端口&＃xff0c;用netstat -tuln只会看到“tcp 127.0.0.1:5432 LISTEN”。修改postgresql.conf 中的listen_address&＃61;*&＃xff0c;监听所有端口&＃xff0c;这样远程才能通过TCP/IP登录数据库&＃xff0c;用netstat -tuln会看到“tcp 0.0.0.0:5432 LISTEN”。