PostgreSQL中允许哪些IP的机器能够访问数据库是由配置文件pg_hba.conf控制的,通过配置该文件,能够指定哪些ip可以访问,哪些ip不可以访问,以及访问的认证方式。hba是host-based authentication的缩写.
initdb在初始化数据目录的时候,会生成一个默认的pg_hba.conf文件。pg_hba.conf文件格式由多条记录组成,每条记录占一行,#开头为注释,这些记录控制着客户端访问数据库的权限和认证方式。
先看一个PostgreSQL默认生成的pg_hba.conf文件示例,如下:
# TYPE DATABASE USER ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all all trust
# IPv4 local connections:
host all all 127.0.0.1/32 trust
# IPv6 local connections:
host all all ::1/128 trust
# Allow replication connections from localhost, by a user with the
# replication privilege.
local replication all trust
host replication all 127.0.0.1/32 trust
host replication all ::1/128 trust
1. 语法
local <dbname> <user> <auth-method> [auth-options]
host <dbname> <user> <ip/masklen> <auth-method> [auth-options]
例子:
本地socket连接
local all all trust
IPv4本地连接
host all all 127.0.0.1/32 trust
允许所有IP使用md5加密的口令访问
host all all 0.0.0.0/0 md5
2. 字段取值详解
2.1 第一个字段,主机类型
- local,匹配本地socket方式连接数据库
- host,匹配TCP/IP网络协议连接,包括SSL和非SSL
- hostssl,匹配TCP/IP网络协议连接,必须是SSL加密的连接
- hostnossl,匹配TCP/IP网络协议连接,必须非SSL加密的
2.2 第二个字段,数据库名称
一行记录的第二个字段,<dbname>用于设置一个数据库名称,设置all表示可以匹配任何数据库,设置为replication表示允许流复制,而不是一个名叫“replication”的数据库。
2.3 第三个字段,用户名称
一行记录的第三个字段,<user>表示一个用户名称,设置为all,匹配所有用户。
2.4 第四个字段,IP地址
一行记录的第四个字段,<ip/masklen>表示允许哪些IP地址来访问,也可以匹配ip段,如192.168.56.0/24。配置为0.0.0.0/0 表示匹配任意IP。
2.5 第五个字段,认证方式
一行记录的第五个字段,<auth-method>表示验证方法,常用的有trust,reject,md5,ident等。
- trust,无条件的允许连接,不需要密码或其他认证
- reject,无条件的拒绝连接
- md5,要求客户端提供一个MD5加密的口令进行认证
- password,要求客户端提供一个未加密的口令进行认证
- gss,用GSSAPI认证用户
- sspi,用SSPI认证用户
- krb5,用Kerberos V5认证用户
- ident,允许客户端上的特定操作系统用户连接到数据库
- ldap,用LDAP服务器认证
- radius,用RADIUS服务器认证
- cert,用SSL客户端证书认证
- pam,用操作系统提供的可插入认证模块服务(PAM)来认证
2.6 第六个字段,认证选项
一行记录的第六个字段,[auth-options] 表示认证选项,也可以不指定。
注:
修改pg_hba.conf配置文件后,需要重新加载生效。
service postgresql reload
或者
pg_ctl reload -D data_dir
或者
select pg_reload_conf();