PostgreSql之连接访问权限

·  阅读 412
PostgreSql之连接访问权限

本文已参与好文召集令活动,点击查看:后端、大前端双赛道投稿,2万元奖池等你挑战!

若把数据库看做一间屋子的话,那今天学习的就是怎么灵活地控制屋子的门,让想进来的人可以进来。

涉及到了 postgresql.conf、pg_hba.conf、pg_ident.conf 三个文件。

postgresql.conf 文件

数据库集簇安装部署完成后,都要更改其中的监听地址,否则默认只监听数据库服务器本地地址,另外确保监听的端口号要通畅,不被防火墙或其他网络安全策略所限制。

listen_addresses = '*'
port = 5432
复制代码

pg_hba.conf 文件

访问控制文件。

# TYPE       DATABASE      USER        ADDRESS      METHOD
 local            all       all                      ident
  host            all       all   127.0.0.1/32       trust
  host            all       all        ::1/128       trust
 local    replication       all                      trust
  host    replication       all   127.0.0.1/32       trust
  host    replication       all        ::1/128       trust
复制代码

TYPE,数据库连接方式,有如下四种

  • local:匹配使用Unix域套接字的连接,如果没有此类型的记录,则不允许使用Unix域套接字连接。
  • host:匹配使用TCP/IP进行的连接,主机记录匹配SSL或非SSL连接,需要配置listen_addresses。
  • hostssl:匹配使用TCP/IP进行的连接,仅限于使用SSL加密进行连接,需要配置ssl参数。
  • hostnossl:匹配通过TCP/IP进行的连接,不使用SSL的连接。

DATABASE:指定哪些数据库可以被连接

  • 匹配的数据库名称,all指定它匹配所有数据库。
  • 复制(replication)不指定数据库。
  • 多个数据库可以用逗号分隔。

USER:指定哪些用户可以连接

  • 匹配的数据库用户名,all指定它匹配所有用户。
  • 可以通过用逗号分隔来提供多个用户名。

ADDRESS:指定哪些IP地址可以连接

  • 匹配的客户端计算机地址,all以匹配任何IP地址。
  • 0.0.0.0/0表示所有IPv4地址。
  • :: 0/0表示所有IPv6地址。
  • 192.168.100.101/32 允许这个ip登录。
  • 192.168.100.0/24 允许19.168.100.0~192.168.100.255网段登录数据库

METHOD:客户端认证方式

  • trust:只要知道数据库用户名就不需要密码或ident就能登录,建议不要在生产环境中使用。
  • md5:是常用的密码认证方式,如果你不使用ident,最好使用md5。密码是以md5形式传送给数据库,较安全,且不需建立同名的操作系统用户。
  • password:以明文密码传送给数据库,建议不要在生产环境中使用。
  • ident:Linux下PostgreSQL默认的local认证方式,凡是能正确登录操作系统用户(注:不是数据库用户)就能使用本用户映射的数据库用户不需密码登录数据库。操作系统名,数据库用户名,数据库名一致。
  • reject:拒绝认证,这对于从组中“过滤掉”某些主机非常有用。

修改完pg_hba.conf文件之后,需要重新加载配置,不用重启数据库:

select pg_reload_conf();
复制代码

pg_ident.conf 文件

数据库映射文件,ident认证方式的扩展,标注操作系统用户与数据库用户的映射关系,配合pg_hba.conf使用。

pg_ident.conf 文件
# MAPNAME    SYSTEM-USERNAME    PG-USERNAME
      ss                aaa            test
      ss           postgres        postgres
      ss                syd             syd
      
pg_hba.conf 文件
# TYPE       DATABASE      USER        ADDRESS      METHOD
 local            all       all                      ident map=ss
  host            all       all   127.0.0.1/32       trust
  host            all       all        ::1/128       trust
 local    replication       all                      trust
  host    replication       all   127.0.0.1/32       trust
  host    replication       all        ::1/128       trust
复制代码
  • MAPNAME:映射名,自定义配置在 pg_hba.conf 文件中。
  • SYSTEM-USERNAME:系统用户名。
  • PG-USERNAME :数据库用户名。

配置完成后,切换对应系统用户后即可直接通过psql命令,无需密码,连接访问数据库(每个用户的系统环境变量中已配置PGUSER,且数据库集簇中存在对应的用户和数据库)

--aaa 操作系统用户免密连接 test 数据库用户,登录 test 数据库。
[root@dj ~]# su - aaa
[aaa@dj ~]$ psql
psql (12.4)
Type "help" for help.
test=> select user;
user
------
test
(1 row)

--postgres 操作系统用户免密连接 postgres 数据库用户,登录 postgres 数据库。
[root@dj ~]# su - postgres
[postgres@dj ~]$ psql
psql (12.4)
Type "help" for help.
postgres=# select user;
user
----------
postgres
(1 row)

--syd 操作系统用户免密连接 syd 数据库用户,登录 syd 数据库。
[root@dj ~]# su - syd
[syd@dj ~]$ psql
psql (12.4)
Type "help" for help.
syd=> select user;
user
------
syd
(1 row)
复制代码

最后补充下创建的数据库用户,需要有登录数据库的权限。PostgreSql中有用户(user)和角色(role)的概念,两者唯一区别为 user 建完后自带登录权限,而 role 需要额外授权登录权限,才可登录数据库。

--创建角色ce1,用户ce2。
postgres=# create role ce1 password 'ce1';
CREATE ROLE
postgres=# create user ce2 password 'ce2';
CREATE ROLE

--查看权限可发现角色ce1没有登录权限。
postgres=# \du
                                   List of roles
 Role name |                         Attributes                         | Member of 
-----------+------------------------------------------------------------+-----------
 ce1       | Cannot login                                               | {}
 ce2       |                                                            | {}
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 repmgr    | Superuser                                                  | {}
 syd       |                                                            | {}
 test      |                                                            | {}

--切换连接用户也可看到ce1角色没有登录权限。
postgres=# \c - ce1;
FATAL:  role "ce1" is not permitted to log in
Previous connection kept
postgres=# \c - ce2;
You are now connected to database "postgres" as user "ce2".
postgres=> \c - postgres

--ce1授予登录权限后,可切换。
postgres=# alter role ce1 with login;
ALTER ROLE
postgres=# \du
                                   List of roles
 Role name |                         Attributes                         | Member of 
-----------+------------------------------------------------------------+-----------
 ce1       |                                                            | {}
 ce2       |                                                            | {}
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 repmgr    | Superuser                                                  | {}
 syd       |                                                            | {}
 test      |                                                            | {}

postgres=# \c - ce2;
You are now connected to database "postgres" as user "ce2".
复制代码
分类:
后端
标签: