首页 > 其他分享 >openGauss 配置文件参考

openGauss 配置文件参考

时间:2024-04-30 10:59:00浏览次数:25  
标签:配置文件 参考 数据库 用户 认证 接字 openGauss 连接 客户端

配置文件参考

表 1 参数说明

参数名称

描述

取值范围

local

表示这条记录只接受通过Unix域套接字进行的连接。没有这种类型的记录,就不允许Unix域套接字的连接。

只有在从服务器本机使用gsql连接且在不指定-h参数的情况下,才是通过Unix域套接字连接。

-

host

表示这条记录既接受一个普通的TCP/IP套接字连接,也接受一个经过SSL加密的TCP/IP套接字连接。

-

hostssl

表示这条记录只接受一个经过SSL加密的TCP/IP套接字连接。

用SSL进行安全的连接,需要配置申请数字证书并配置相关参数,详细信息请参见用SSL进行安全的TCP/IP连接

hostnossl

表示这条记录只接受一个普通的TCP/IP套接字连接。

-

DATABASE

声明记录所匹配且允许访问的数据库。

  • all:表示该记录匹配所有数据库。
  • sameuser:表示如果请求访问的数据库和请求的用户同名,则匹配。
  • samerole:表示请求的用户必须是与数据库同名角色中的成员。
  • samegroup:与samerole作用完全一致,表示请求的用户必须是与数据库同名角色中的成员。
  • 一个包含数据库名的文件或者文件中的数据库列表:文件可以通过在文件名前面加前缀@来声明。文件中的数据库列表以逗号或者换行符分隔。
  • 特定的数据库名称或者用逗号分隔的数据库列表。 说明:

    值replication表示如果请求一个复制链接,则匹配,但复制链接不表示任何特定的数据库。如需使用名为replication的数据库,需在database列使用记录“replication”作为数据库名。

USER

声明记录所匹配且允许访问的数据库用户。

  • all:表明该记录匹配所有用户。
  • +用户角色:表示匹配任何直接或者间接属于这个角色的成员。 说明:

    +表示前缀符号。

  • 一个包含用户名的文件或者文件中的用户列表:文件可以通过在文件名前面加前缀@来声明。文件中的用户列表以逗号或者换行符分隔。
  • 特定的数据库用户名或者用逗号分隔的用户列表。

ADDRESS

指定与记录匹配且允许访问的IP地址范围。

支持IPv4和IPv6,可以使用如下两种形式来表示:

  • IP地址/掩码长度。例如,10.10.0.0/24
  • IP地址子网掩码。例如,10.10.0.0 255.255.255.0
说明:

以IPv4格式给出的IP地址会匹配那些拥有对应地址的IPv6连接,比如127.0.0.1将匹配IPv6地址 ::ffff:127.0.0.1。

METHOD

声明连接时使用的认证方法。

本产品支持如下几种认证方式,详细解释请参见表2

  • trust
  • reject
  • md5(不推荐使用,默认不支持,可通过password_encryption_type参数配置) 说明:

    MD5加密算法安全性低,存在安全风险,建议使用更安全的加密算法。

  • sha256
  • sm3
  • cert
  • peer(仅用于local模式)

表 2 认证方式

认证方式

说明

trust

采用这种认证模式时,本产品只完全信任从服务器本机使用gsql且不指定-U参数的连接,此时不需要口令。

trust认证对于单用户工作站的本地连接是非常合适和方便的,通常不适用于多用户环境。如果想使用这种认证方法,可利用文件系统权限限制对服务器的Unix域套接字文件的访问。要使用这种限制有两个方法:

须知:

设置文件系统权限只能Unix域套接字连接,它不会限制本地TCP/IP连接。为保证本地TCP/IP安全,openGauss不允许远程连接使用trust认证方法。

reject

无条件地拒绝连接。常用于过滤某些主机。

md5

要求客户端提供一个md5加密的口令进行认证。

须知:
  • MD5加密算法安全性低,存在安全风险,建议使用更安全的加密算法。
  • openGauss保留md5认证和密码存储,是为了便于第三方工具的使用(比如TPCC评测工具)。

sha256

要求客户端提供一个sha256算法加密的口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单向sha256加密,增强了安全性。

sm3

要求客户端提供一个sm3算法加密口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单项sm3的加密,增加了安全性。

cert

客户端证书认证模式,此模式需进行SSL连接配置且需要客户端提供有效的SSL证书,不需要提供用户密码。

须知:

该认证方式只支持hostssl类型的规则。

peer

获取客户端所在操作系统用户名,并检查与数据库初始用户名是否一致。此方式只支持数据库初始用户通过local模式本地连接,并支持通过配置pg_ident.conf建立操作系统用户与数据库初始用户映射关系。

假设操作系统用户名为omm,数据库初始用户为dbAdmin,在pg_hba.conf中配置local模式为peer认证:

local   all    all        peer    map=mymap

其中map=mymap指定使用的用户名映射,并在pg_ident.conf中添加映射名称为mymap的用户名映射如下:

# MAPNAME       SYSTEM-USERNAME         PG-USERNAME
mymap                omm                                  dbAdmin
说明:

通过gs_guc reload方式修改pg_hba.conf配置可以立即生效无需重启数据库。直接编辑修改pg_ident.conf配置后下次连接时自动生效无需重启数据库。

详情查看:https://opengauss.org

详情查看:https://docs-opengauss.osinfra.cn

标签:配置文件,参考,数据库,用户,认证,接字,openGauss,连接,客户端
From: https://www.cnblogs.com/techbing/p/18167348

相关文章

  • openGauss 其他操作
    其他操作创建和管理schema创建和管理表创建和管理分区表创建和管理索引创建和管理视图创建和管理序列详情查看:https://opengauss.org详情查看:https://docs-opengauss.osinfra.cn......
  • openGauss 配置客户端接入认证
    配置客户端接入认证背景信息如果主机需要远程连接数据库,必须在数据库系统的配置文件中增加此主机的信息,并且进行客户端接入认证。配置文件(默认名称为pg_hba.conf)存放在数据库的数据目录里。hba(host-basedauthentication)表示是基于主机的认证。本产品支持如下三种认证方式,这......
  • openGauss 内存表特性
    内存表特性MOT介绍使用MOTMOT的概念附录详情查看:https://opengauss.org详情查看:https://docs-opengauss.osinfra.cn......
  • openGauss 内存优化表MOT管理
    内存表特性MOT介绍使用MOTMOT的概念附录详情查看:https://opengauss.org详情查看:https://docs-opengauss.osinfra.cn......
  • openGauss 扩展FDW与其他openGauss特性
    扩展FDW与其他openGauss特性openGauss基于PostgreSQL,而PostgreSQL没有内置存储引擎适配器,如MySQL的handlerton。为了使MOT存储引擎能够集成到openGauss中,我们利用并扩展了现有的FDW机制。随着FDW引入PostgreSQL9.1,现在可以将这些外表和数据源呈现为统一、本地可访问的关系来访问......
  • openGauss 默认权限机制
    默认权限机制数据库对象创建后,进行对象创建的用户就是该对象的所有者。数据库安装后的默认情况下,未开启三权分立,数据库系统管理员具有与对象所有者相同的权限。也就是说对象创建后,默认只有对象所有者或者系统管理员可以查询、修改和销毁对象,以及通过GRANT将对象的权限授予其他用......
  • openGauss 角色
    角色角色是一组用户的集合。通过GRANT把角色授予用户后,用户即具有了角色的所有权限。推荐使用角色进行高效权限分配。例如,可以为设计、开发和维护人员创建不同的角色,将角色GRANT给用户后,再向每个角色中的用户授予其工作所需数据的差异权限。在角色级别授予或撤消权限时,这些更改将......
  • openGauss 客户端接入认证
    客户端接入认证配置客户端接入认证配置文件参考用SSL进行安全的TCP/IP连接用SSH隧道进行安全的TCP/IP连接查看数据库连接数SSL证书管理详情查看:https://opengauss.org详情查看:https://docs-opengauss.osinfra.cn......
  • openGauss 行级访问控制
    行级访问控制行级访问控制特性将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。用户可以在数据表创建行访问控制(RowLevelSecurity)策略,该策略是指针对特定数据库用户、特定SQL操作生效的表达式。当......
  • openGauss 将磁盘表转换为MOT
    将磁盘表转换为MOT磁盘表直接转换为MOT尚不能实现,这意味着尚不存在将基于磁盘的表转换为MOT的ALTERTABLE语句。下面介绍如何手动将基于磁盘的表转换为MOT,如何使用gs_dump工具导出数据,以及如何使用gs_restore工具导入数据。前置条件检查检查待转换为MOT的磁盘表的模式是否包含......