openGauss數據庫客户端接入認證詳解

語言: CN / TW / HK
時間 2023-02-17 03:01:27
主題:

目錄

前言

認證方式

配置文件解析

示例

參數解釋

如何配置

常見錯誤

前言

日常生活工作中,我們經常遇到需要接入認證的場景,如登錄網站、服務器或連接wifi、vpn等等。當一個客户端應用連接一個數據庫服務器時,比如使用各種JDBC/ODBC進行數據訪問或者數據庫遷移場景或從服務器本機使用gsql連接等,會需要指定以哪個數據庫用户名連接。認證是數據庫服務器建立客户端身份的過程,並且服務器決定客户端應用(或者運行客户端應用的用户)是否被允許以請求的數據庫用户名來連接。比如下面一個簡單的jdbc變量例子:

DB_URL = "jdbc:postgresql://192.168.x.x:26000/demo";

USER = "dbuser";

PASS = "Gauss#xxxxx";

認證方式介紹

openGauss提供多種不同的客户端認證方式。

  1. 基於主機的認證:服務器端根據客户端的IP地址、用户名及要訪問的數據庫來查看配置文件從而判斷用户是否通過認證。主機鑑權允許主機鑑權部分或全部系統用户。適用於系統所有用户或者使用Match指令的子集。
  2. 口令認證:包括遠程連接的加密口令認證和本地連接的非加密口令認證。使用帳號和口令登錄到遠程主機。所有傳輸的數據都會被加密,但是不能保證正在連接的服務器就是需要連接的服務器。可能會有其他服務器冒充真正的服務器,也就是受到“中間人”方式的攻擊。
  3. SSL加密:使用OpenSSL(開源安全通信庫)提供服務器端和客户端安全連接的環境。用户必須為自己創建一對密鑰,並把公用密鑰放在需要訪問的服務器上。這種級別的認證不僅加密所有傳送的數據,而且避免“中間人”攻擊方式。但是整個登錄的過程可能需要10秒。

以上三種認證方式都需要配置“pg_hba.conf”文件。數據庫安裝後會自動生成默認的這個配置文件一般安裝在$GAUSSHOME/data目錄下,下面我們在介紹一下這個關鍵的配置文件。

配置文件解析

客户端認證是由一個配置文件pg_hba.conf控制,其中的hba即為host-based authentication縮寫,表示基於主機的認證)。可對IPV4、IPV6 和replication privilege(邏輯複製相關,比如從openGauss遷移數據到其他數據庫)的客户端接入進行設置.

示例

TYPE  DATABASE        USER            ADDRESS                 METHOD



"local" is for Unix domain socket connections only

#表示只允許以安裝時-U參數指定的用户從服務器本機進行連接。

local   all             all                                     trust

IPv4 local connections:

#表示允許jack用户從10.10.0.50主機上連接到任意數據庫,使用sha256算法對密碼進行加密。

host    all           jack             10.10.0.50/32            sha256

#表示允許任何用户從10.10.0.0/24網段的主機上連接到任意數據庫,使用sha256算法對密碼進行加密,並且經過SSL加密傳輸。

hostssl    all         all             10.10.0.0/24            sha256

pg_hba.conf文件的常用格式是一組記錄,每行一條。記錄不能跨行。每條記錄指定一種連接類型、一個客户端 IP 地址範圍(如果和連接類型相關)、一個數據庫名、一個用户名以及對匹配這些參數的連接使用的認證方法。

一條記錄由若干用空格 和/或製表符分隔的域組成。如果域值用雙引號包圍,那麼它可以包含空白。

在數據庫、用户或地址域中 引用一個關鍵字(例如,all或replication)將使該詞失去其特殊 含義,並且只是匹配一個有該名字的數據庫、用户或主機。

第一條匹配連接類型、客户端地址、連接請求的數據庫和用户名的記錄將被用於執行認證。這個過程沒有“落空”或者“後備”的説法:如果選擇了一條記錄而且認證失敗,那麼將不再考慮後面的記錄。如果沒有匹配的記錄,那麼訪問將被拒絕。

參數解釋

下面兩個表對配置參數進行説明。

表 1 參數説明

參數名稱

描述

取值範圍

local

表示這條記錄只接受通過Unix域套接字進行的連接。沒有這種類型的記錄,就不允許Unix域套接字的連接。

只有在從服務器本機使用gsql連接且在不指定-h參數的情況下,才是通過Unix域套接字連接。

-

host

表示這條記錄既接受一個普通的TCP/IP套接字連接,也接受一個經過SSL加密的TCP/IP套接字連接。

-

hostssl

表示這條記錄只接受一個經過SSL加密的TCP/IP套接字連接。

用SSL進行安全的連接,需要配置申請數字證書並配置相關參數,詳細信息請參見產品文檔用SSL進行安全的TCP/IP連接

hostnossl

表示這條記錄只接受一個普通的TCP/IP套接字連接。

-

DATABASE

聲明記錄所匹配且允許訪問的數據庫。
  • all:表示該記錄匹配所有數據庫。
  • sameuser:表示如果請求訪問的數據庫和請求的用户同名,則匹配。
  • samerole:表示請求的用户必須是與數據庫同名角色中的成員。
  • samegroup:與samerole作用完全一致,表示請求的用户必須是與數據庫同名角色中的成員。
  • 一個包含數據庫名的文件或者文件中的數據庫列表:文件可以通過在文件名前面加前綴@來聲明。文件中的數據庫列表以逗號或者換行符分隔。
  • 特定的數據庫名稱或者用逗號分隔的數據庫列表。

值replication表示如果請求一個複製鏈接,則匹配,但複製鏈接不表示任何特定的數據庫。如需使用名為replication的數據庫,需在database列使用記錄“replication”作為數據庫名。

USER

聲明記錄所匹配且允許訪問的數據庫用户。
  • all:表明該記錄匹配所有用户。
  • +用户角色:表示匹配任何直接或者間接屬於這個角色的成員。

+表示前綴符號。

  • 一個包含用户名的文件或者文件中的用户列表:文件可以通過在文件名前面加前綴@來聲明。文件中的用户列表以逗號或者換行符分隔。
  • 特定的數據庫用户名或者用逗號分隔的用户列表。

ADDRESS

指定與記錄匹配且允許訪問的IP地址範圍。

支持IPv4和IPv6,可以使用如下兩種形式來表示:

  • IP地址/掩碼長度。例如,10.10.0.0/24
  • IP地址子網掩碼。例如,10.10.0.0 255.255.255.0

以IPv4格式給出的IP地址會匹配那些擁有對應地址的IPv6連接,比如127.0.0.1將匹配IPv6地址 ::ffff:127.0.0.1。

典型例子: ​​172.20.143.89/32​​​用於一個主機,​​172.20.143.0/24​​​用於一個小型網絡, 10.6.0.0/16用於一個大型網絡。 0.0.0.0/0表示所有 IPv4 地址,並且::0/0表示所有 IPv6 地址。要指定一個單一主機,IPv4 用一個長度為 32 的 CIDR掩碼或者 IPv6 用 長度為 128 的 CIDR 掩碼。在一個網絡地址中,不要省略結尾的零。

METHOD

聲明連接時使用的認證方法。

本產品支持如下幾種認證方式,詳細解釋請參見表2。

trustrejectmd5sha256、sm3、cert、gss

表 2 認證方式

認證方式

説明

trust

採用這種認證模式時,本產品只完全信任從服務器本機使用gsql且不指定-U參數的連接,此時不需要口令。

trust認證對於單用户工作站的本地連接是非常合適和方便的,通常不適用於多用户環境。如果想使用這種認證方法,可利用文件系統權限限制對服務器的Unix域套接字文件的訪問。要使用這種限制有兩個方法:

設置參數unix_socket_permissionsunix_socket_group

設置參數unix_socket_directory,將Unix域套接字文件放在一個經過恰當限制的目錄裏。

設置文件系統權限只能Unix域套接字連接,它不會限制本地TCP/IP連接。為保證本地TCP/IP安全,openGauss不允許遠程連接使用trust認證方法。

reject

無條件地拒絕連接。常用於過濾某些主機。

md5

要求客户端提供一個md5加密的口令進行認證。openGauss保留md5認證和密碼存儲,是為了便於第三方工具的使用。

MD5加密算法安全性低,存在安全風險,建議使用更安全的加密算法。

sha256

要求客户端提供一個sha256算法加密的口令進行認證,該口令在傳送過程中結合salt(服務器發送給客户端的隨機數)的單向sha256加密,增強了安全性。

sm3

要求客户端提供一個sm3算法加密口令進行認證,該口令在傳送過程中結合salt(服務器發送給客户端的隨機數)的單項sm3的加密,增加了安全性。

cert

客户端證書認證模式,此模式需進行SSL連接配置且需要客户端提供有效的SSL證書,不需要提供用户密碼。

該認證方式只支持hostssl類型的規則。

gss

使用基於gssapi的kerberos認證。

該認證方式依賴kerberos server等組件,僅支持openGauss內部通信認證。當前版本暫不支持外部客户端通過kerberos認證連接。

開啟openGauss內部kerberos認證會使增加內部節點建連時間,即影響首次涉及內部建連的SQL操作性能,內部連接建立好後, 後續操作不受影響。

peer

獲取客户端所在操作系統用户名,並檢查與數據庫初始用户名是否一致。此方式只支持local模式本地連接,並支持通過配置pg_ident.conf建立操作系統用户與數據庫用户映射關係。

假設操作系統用户名為omm,數據庫初始用户為dbAdmin,在pg_hba.conf中配置local模式為peer認證:

""local   all    all        peer    map=mymap

其中map=mymap指定使用的用户名映射,並在pg_ident.conf中添加映射名稱為mymap的用户名映射如下:

""# MAPNAME       SYSTEM-USERNAME         PG-USERNAME

mymap                omm                                  dbAdmin

説明:

通過gs_guc reload方式修改pg_hba.conf配置可以立即生效無需重啟數據庫。直接編輯修改pg_ident.conf配置後下次連接時自動生效無需重啟數據庫。

如何配置

1.以操作系統用户omm登錄數據庫主節點。

2.配置客户端認證方式,允許客户端以“jack”用户(需提前創建)連接到本機,此處遠程連接禁止使用“omm”用户(即數據庫初始化用户)。使用gs_guc  或者直接修改配置文件均可。

例如,下面示例中配置允許IP地址為10.10.0.30的客户端訪問本機。

gs_guc set -N all -I all -h "host all jack 10.10.0.30/32 sha256"

-N all表示openGauss的所有主機。-I all表示主機的所有實例。-h表示指定需要在“pg_hba.conf”增加的語句。10.10.0.30/32表示只允許IP地址為10.10.0.30的主機連接。此處的IP地址不能為openGauss內的IP,在使用過程中,請根據用户的網絡進行配置修改。32表示子網掩碼為1的位數,即255.255.255.255。

這條命令在數據庫主節點實例對應的“pg_hba.conf”文件中添加了一條規則,用於對連接數據庫主節點的客户端進行鑑定。

“pg_hba.conf”文件中的每條記錄可以是下面四種格式之一。

local     DATABASE USER METHOD [OPTIONS]

host      DATABASE USER ADDRESS METHOD [OPTIONS]

hostssl   DATABASE USER ADDRESS METHOD [OPTIONS]

hostnossl DATABASE USER ADDRESS METHOD [OPTIONS]

因為認證時系統是為每個連接請求順序檢查“pg_hba.conf”裏的記錄的,所以這些記錄的順序是非常關鍵的。在配置“pg_hba.conf”文件時,請依據通訊需求按照格式內容從上至下配置記錄,優先級高的需求需要配置在前面。openGauss和擴容配置的IP優先級最高,用户手動配置的IP請放在這二者之後,如果已經進行的客户配置和擴容節點的IP在同一網段,請在擴容前刪除,擴容成功後再進行配置。

pg_hba.conf中的認證策略越靠前優先級越高,使用gs_guc工具配置時會按一定規則排序將新策略插入到原有認證策略中。配置字段比較順序為:IPADDR/HOSTNAME > HOSTTYPE > DATABASE > USERNAME,即優先比較IPADDR或HOSTNAME,如果無法區分優先級則繼續比較HOSTTYPE,以此類推。對於每個配置字段,通常越嚴格的配置參數優先級越高、排序越靠前,越寬鬆的配置參數優先級越低、排序越靠後,具體如下:

IPADDR:當配置為全0時表示不限制IP,會放在指定具體某個IP地址的策略後面。

DATABASE:當配置為all時表示不限制數據庫,會放在指定具體某個數據庫的策略後面;當數據庫配置為replication時會放在其他策略後面。

USERNAME:當配置為all時表示不限制用户,會放在指定具體某個用户的策略後面。

HOSTTYPE:local > hostssl > hostnossl > host。

因此對於認證規則的配置建議如下: 靠前的記錄有比較嚴格的連接參數和比較弱的認證方法。靠後的記錄有比較寬鬆的連接參數和比較強的認證方法。

一個用户要想成功連接到特定的數據庫,不僅需要通過pg_hba.conf中的規則檢查,還必須要有該數據庫上的CONNECT權限。如果希望控制某些用户只能連接到指定數據庫,賦予/撤銷CONNECT權限通常比在pg_hba.conf中設置規則更為簡單。

常見錯誤

常見的用户認證失敗錯誤提示請參見下表

問題現象

解決方法

用户名或密碼錯誤:

""FATAL: invalid username/password,login denied

這條信息説明用户名或者密碼錯誤,請檢查輸入是否有誤。

連接的數據庫不存在:

""FATAL: database "TESTDB" does not exist

這條信息説明嘗試連接的數據庫不存在,請檢查連接的數據庫名輸入是否有誤。

未找到客户端匹配記錄:

""FATAL: no pg_hba.conf entry for host "10.10.0.60", user "ANDYM", database "TESTDB"

這條信息説明已經連接了服務器,但服務器拒絕了連接請求,因為沒有在它的pg_hba.conf配置文件裏找到匹配的記錄。請聯繫數據庫管理員在pg_hba.conf配置文件加入用户的信息。

在可信方法下禁止遠程連接。

“FATAL: Forbid remote connection with trust method!”

使用推薦的sha256認證。

使用的連接工具不支持sha256

none of the server’s SASL authentication mechanisms are supported

修改為使用md5方式連接。

出於安全考慮,openGauss默認加密方式為sha256,因此需要同步修改數據庫的加密方式:gs_guc set -N all -I all -c "password_encryption_type=1" ,即支持md5和sha256,重啟openGauss生效後需要創建用md5方式加密口令的用户。同時修改pg_hba.conf,將客户端連接方式修改為md5。

沒有複製連接的pg_hba.conf的配置

FATAL: no pg_hba.conf entry for replication connection from host "127.0.0.1", user "tuser", SSL off

修改pg_hba.conf的 replication privilege部分添加應記錄. 然後重新reload

🍒如果您覺得博主的文章還不錯或者有幫助的話,請關注一下博主,如果點贊評論收藏就更好啦!謝謝各位大佬給予的支持!