openGauss資料庫客戶端接入認證詳解
目錄
前言
日常生活工作中,我們經常遇到需要接入認證的場景,如登入網站、伺服器或連線wifi、vpn等等。當一個客戶端應用連線一個數據庫伺服器時,比如使用各種JDBC/ODBC進行資料訪問或者資料庫遷移場景或從伺服器本機使用gsql連線等,會需要指定以哪個資料庫使用者名稱連線。認證是資料庫伺服器建立客戶端身份的過程,並且伺服器決定客戶端應用(或者執行客戶端應用的使用者)是否被允許以請求的資料庫使用者名稱來連線。比如下面一個簡單的jdbc變數例子:
DB_URL = "jdbc:postgresql://192.168.x.x:26000/demo";
USER = "dbuser";
PASS = "Gauss#xxxxx";
認證方式介紹
openGauss提供多種不同的客戶端認證方式。
- 基於主機的認證:伺服器端根據客戶端的IP地址、使用者名稱及要訪問的資料庫來檢視配置檔案從而判斷使用者是否通過認證。主機鑑權允許主機鑑權部分或全部系統使用者。適用於系統所有使用者或者使用Match指令的子集。
- 口令認證:包括遠端連線的加密口令認證和本地連線的非加密口令認證。使用帳號和口令登入到遠端主機。所有傳輸的資料都會被加密,但是不能保證正在連線的伺服器就是需要連線的伺服器。可能會有其他伺服器冒充真正的伺服器,也就是受到“中間人”方式的攻擊。
- SSL加密:使用OpenSSL(開源安全通訊庫)提供伺服器端和客戶端安全連線的環境。使用者必須為自己建立一對金鑰,並把公用金鑰放在需要訪問的伺服器上。這種級別的認證不僅加密所有傳送的資料,而且避免“中間人”攻擊方式。但是整個登入的過程可能需要10秒。
以上三種認證方式都需要配置“pg_hba.conf”檔案。資料庫安裝後會自動生成預設的這個配置檔案一般安裝在$GAUSSHOME/data目錄下,下面我們在介紹一下這個關鍵的配置檔案。
配置檔案解析
客戶端認證是由一個配置檔案pg_hba.conf控制,其中的hba即為host-based authentication縮寫,表示基於主機的認證)。可對IPV4、IPV6 和replication privilege(邏輯複製相關,比如從openGauss遷移資料到其他資料庫)的客戶端接入進行設定.
示例
TYPE DATABASE USER ADDRESS METHOD
"local" is for Unix domain socket connections only
#表示只允許以安裝時-U引數指定的使用者從伺服器本機進行連線。
local all all trust
IPv4 local connections:
#表示允許jack使用者從10.10.0.50主機上連線到任意資料庫,使用sha256演算法對密碼進行加密。
host all jack 10.10.0.50/32 sha256
#表示允許任何使用者從10.10.0.0/24網段的主機上連線到任意資料庫,使用sha256演算法對密碼進行加密,並且經過SSL加密傳輸。
hostssl all all 10.10.0.0/24 sha256
pg_hba.conf檔案的常用格式是一組記錄,每行一條。記錄不能跨行。每條記錄指定一種連線型別、一個客戶端 IP 地址範圍(如果和連線型別相關)、一個數據庫名、一個使用者名稱以及對匹配這些引數的連線使用的認證方法。
一條記錄由若干用空格 和/或製表符分隔的域組成。如果域值用雙引號包圍,那麼它可以包含空白。
在資料庫、使用者或地址域中 引用一個關鍵字(例如,all或replication)將使該詞失去其特殊 含義,並且只是匹配一個有該名字的資料庫、使用者或主機。
第一條匹配連線型別、客戶端地址、連線請求的資料庫和使用者名稱的記錄將被用於執行認證。這個過程沒有“落空”或者“後備”的說法:如果選擇了一條記錄而且認證失敗,那麼將不再考慮後面的記錄。如果沒有匹配的記錄,那麼訪問將被拒絕。
引數解釋
下面兩個表對配置引數進行說明。
表 1 引數說明
表 2 認證方式
如何配置
1.以作業系統使用者omm登入資料庫主節點。
2.配置客戶端認證方式,允許客戶端以“jack”使用者(需提前建立)連線到本機,此處遠端連線禁止使用“omm”使用者(即資料庫初始化使用者)。使用gs_guc 或者直接修改配置檔案均可。
例如,下面示例中配置允許IP地址為10.10.0.30的客戶端訪問本機。
gs_guc set -N all -I all -h "host all jack 10.10.0.30/32 sha256"
-N all表示openGauss的所有主機。-I all表示主機的所有例項。-h表示指定需要在“pg_hba.conf”增加的語句。10.10.0.30/32表示只允許IP地址為10.10.0.30的主機連線。此處的IP地址不能為openGauss內的IP,在使用過程中,請根據使用者的網路進行配置修改。32表示子網掩碼為1的位數,即255.255.255.255。
這條命令在資料庫主節點例項對應的“pg_hba.conf”檔案中添加了一條規則,用於對連線資料庫主節點的客戶端進行鑑定。
“pg_hba.conf”檔案中的每條記錄可以是下面四種格式之一。
local DATABASE USER METHOD [OPTIONS]
host DATABASE USER ADDRESS METHOD [OPTIONS]
hostssl DATABASE USER ADDRESS METHOD [OPTIONS]
hostnossl DATABASE USER ADDRESS METHOD [OPTIONS]
因為認證時系統是為每個連線請求順序檢查“pg_hba.conf”裡的記錄的,所以這些記錄的順序是非常關鍵的。在配置“pg_hba.conf”檔案時,請依據通訊需求按照格式內容從上至下配置記錄,優先順序高的需求需要配置在前面。openGauss和擴容配置的IP優先順序最高,使用者手動配置的IP請放在這二者之後,如果已經進行的客戶配置和擴容節點的IP在同一網段,請在擴容前刪除,擴容成功後再進行配置。
pg_hba.conf中的認證策略越靠前優先順序越高,使用gs_guc工具配置時會按一定規則排序將新策略插入到原有認證策略中。配置欄位比較順序為:IPADDR/HOSTNAME > HOSTTYPE > DATABASE > USERNAME,即優先比較IPADDR或HOSTNAME,如果無法區分優先順序則繼續比較HOSTTYPE,以此類推。對於每個配置欄位,通常越嚴格的配置引數優先順序越高、排序越靠前,越寬鬆的配置引數優先順序越低、排序越靠後,具體如下:
IPADDR:當配置為全0時表示不限制IP,會放在指定具體某個IP地址的策略後面。
DATABASE:當配置為all時表示不限制資料庫,會放在指定具體某個資料庫的策略後面;當資料庫配置為replication時會放在其他策略後面。
USERNAME:當配置為all時表示不限制使用者,會放在指定具體某個使用者的策略後面。
HOSTTYPE:local > hostssl > hostnossl > host。
因此對於認證規則的配置建議如下: 靠前的記錄有比較嚴格的連線引數和比較弱的認證方法。靠後的記錄有比較寬鬆的連線引數和比較強的認證方法。
一個使用者要想成功連線到特定的資料庫,不僅需要通過pg_hba.conf中的規則檢查,還必須要有該資料庫上的CONNECT許可權。如果希望控制某些使用者只能連線到指定資料庫,賦予/撤銷CONNECT許可權通常比在pg_hba.conf中設定規則更為簡單。
常見錯誤
常見的使用者認證失敗錯誤提示請參見下表。
🍒如果您覺得博主的文章還不錯或者有幫助的話,請關注一下博主,如果點贊評論收藏就更好啦!謝謝各位大佬給予的支援!
- GaussDB資料型別轉換介紹
- 通過公網連線GaussDB資料庫例項
- GaussDB資料型別介紹
- 如何通過DAS連線GaussDB
- 企業級分散式資料庫 - GaussDB介紹
- GaussDB 資料庫實驗環境搭建指導
- Tableau連線openGauss實踐
- 以學校資料模型為例,掌握在DAS下使用GaussDB
- openGauss資料庫共享儲存特性簡介
- openGauss資料庫原始碼解析系列文章——備份恢復機制:openGauss增量備份技術(上)
- openGauss資料庫客戶端接入認證詳解
- Excel連線openGauss資料庫實操
- openGauss資料庫原始碼解析系列文章——備份恢復機制:openGauss全量備份技術
- 超市進銷存之openGauss資料庫的應用與實踐
- 在WPS表格裡製作連線到openGauss的實時重新整理報表
- openGauss資料庫PostGIS 安裝與使用
- openGauss中Schema賦權小試
- openGauss Cluster Manager RTO Test
- 【我和openGauss的故事】openGauss獲獎專案講解
- openGauss易知易會的幾個實用特性