와이즈 토토 응용프로그램이 데이터베이스 서버에 연결되면, 어느 것을 지정합니다와이즈 토토사용자 연결하려는 이름은 로그인하는 것과 거의 같은 방식입니다. 특정 사용자로서의 Unix 컴퓨터. SQL 환경 내에서 활성 데이터베이스 사용자 이름에 따라 액세스 권한이 결정됩니다. 데이터베이스 개체 -- 참조PostgreSQL : 문서 : 7.3 : 데이터베이스 토토 캔 및 권한12216_12317
인증다음 프로세스입니다. 데이터베이스 서버가 클라이언트의 신원을 설정합니다. 확장하여 클라이언트 애플리케이션(또는 클라이언트 애플리케이션을 실행하는 사용자)의 연결이 허용됩니다. 요청된 사용자 이름으로.
와이즈 토토다양한 기능을 제공합니다 다양한 클라이언트 인증 방법. 사용된 방법은 특정 클라이언트 연결 인증을 선택할 수 있습니다. (클라이언트) 호스트 주소, 데이터베이스 및 사용자의 기초.
와이즈 토토사용자 이름은 운영 체제의 사용자 이름과 논리적으로 분리되어 있습니다. 서버가 실행되는 것입니다. 특정 서버의 모든 사용자가 서버 컴퓨터에도 계정이 있으므로 다음을 수행하는 것이 좋습니다. 운영 체제 사용자와 일치하는 데이터베이스 사용자 이름 할당 이름. 그러나 원격 연결을 허용하는 서버는 로컬 계정이 없는 사용자가 많으며, 이러한 경우에는 데이터베이스 사용자 이름과 OS 사용자 사이에 연결이 필요하지 않습니다. 이름.
클라이언트 인증은 파일에 의해 제어됩니다.pg_hba.conf데이터 디렉토리, 예:/usr/local/pgsql/data/pg_hba.conf. (HBA호스트 기반을 나타냅니다. 인증.) 기본값pg_hba.conf파일은 데이터가 설치될 때 설치됩니다. 디렉토리는 다음으로 초기화됩니다.initdb.
일반 형식pg_hba.conf파일은 레코드 집합입니다. 라인. 빈 줄은 무시되며, 다음의 모든 텍스트도 무시됩니다."#"댓글 문자. 기록은 공백으로 구분된 여러 필드로 구성됨 및/또는 탭. 필드 값에 공백이 포함될 수 있습니다. 인용됩니다. 기록은 여러 줄에 걸쳐 계속될 수 없습니다.
각 레코드는 연결 유형, 클라이언트 IP 주소를 지정합니다. 범위(연결 유형과 관련된 경우), 데이터베이스 이름, 사용자 이름 및 사용할 인증 방법 이 매개변수와 일치하는 연결. 와 함께한 첫 번째 기록 일치하는 연결 유형, 클라이언트 주소, 요청된 데이터베이스, 사용자 이름은 인증을 수행하는 데 사용됩니다. 없습니다"탈락"또는"백업": 하나의 레코드가 선택되고 인증이 실패하면 후속 기록은 고려되지 않습니다. 만약에 일치하는 기록이 없어 접근이 거부되었습니다.
기록은 세 가지 형식 중 하나를 가질 수 있습니다.
로컬데이터베이스 사용자 인증 방법 [인증 옵션] 호스트데이터베이스 사용자 IP-주소 IP-마스크 인증 방법 [인증 옵션] 호스트sl데이터베이스 사용자 IP-주소 IP-마스크 인증 방법 [인증 옵션]
필드의 의미는 다음과 같습니다:
이 기록은 Unix를 사용한 연결 시도와 일치합니다. 도메인 소켓. 이런 종류의 기록이 없으면, Unix 도메인 소켓 연결은 허용되지 않습니다.
이 레코드는 TCP/IP를 사용한 연결 시도와 일치합니다.
네트워크. TCP/IP 연결은 비활성화되어 있습니다.
서버가 다음으로 시작되지 않는 한-i옵션 또는tcpip_socket 와이즈 토토.conf구성 매개변수
활성화되었습니다.
이 레코드는 SSL을 사용한 연결 시도와 일치합니다. TCP/IP.호스트기록이 일치합니다 SSL 또는 비SSL 연결 시도 중 하나지만hostssl레코드에는 SSL이 필요합니다 연결.
이 옵션을 사용하려면 서버가 다음과 같아야 합니다. SSL 지원이 활성화되어 구축되었습니다. 또한 SSL은 다음과 같아야 합니다. 옵션을 활성화하여 활성화됨sslin와이즈 토토.conf(참조섹션 3.4).
이 레코드가 일치하는 데이터베이스를 지정합니다. 는 값모두다음을 지정합니다. 모든 데이터베이스와 일치합니다. 값동일사용자레코드가 일치함을 지정합니다. 요청한 데이터베이스의 이름이 동일한 경우 요청한 사용자입니다. 값동일그룹요청된 내용을 지정합니다. 사용자는 동일한 이름을 가진 그룹의 구성원이어야 합니다. 요청한 데이터베이스. 그렇지 않으면 이것은 특정와이즈 토토데이터베이스. 여러 데이터베이스 이름을 제공할 수 있습니다. 쉼표로 구분합니다. 데이터베이스가 포함된 파일 파일 이름 앞에를 붙여서 이름을 지정할 수 있습니다.@. 파일은 동일해야 합니다. 다음과 같은 디렉토리pg_hba.conf.
이 레코드가 일치하는 와이즈 토토 사용자를 지정합니다. 값모두다음을 지정합니다. 모든 사용자와 일치합니다. 그렇지 않으면 이것은 특정와이즈 토토사용자. 여러 사용자 이름을 구분하여 제공할 수 있습니다. 쉼표로 표시하세요. 그룹 이름은 다음과 같이 지정할 수 있습니다. 그룹 이름 앞에는+. 사용자 이름이 포함된 파일은 다음으로 지정할 수 있습니다. 파일 이름 앞에는@. 파일은 다음과 같은 디렉터리에 있어야 합니다.pg_hba.conf.
이 두 필드에는 IP 주소/마스크 값이 포함되어 있습니다. 표준 점으로 구분된 십진수 표기법. (IP 주소는 도메인이나 호스트 이름이 아닌 숫자로 지정해야 합니다.) 함께 사용하면 클라이언트 시스템 IP를 지정합니다. 이 레코드가 일치하는 주소입니다. 정확한 논리는 그
레코드가 일치하려면 0이어야 합니다. (의 물론 IP 주소는 스푸핑될 수 있지만 이 고려 사항은 범위를 벗어납니다.와이즈 토토.)
이 필드는 다음에만 적용됩니다.호스트그리고hostssl기록.
다음 경우에 사용할 인증 방법을 지정합니다. 이 레코드를 통해 연결합니다. 가능한 선택은 다음과 같습니다 여기에 요약되어 있습니다. 자세한 내용은 다음을 참조하세요.섹션 6.2.
접속은 무조건 허용됩니다. 이 방법을 사용하면 누구나 연결할 수 있습니다.포스트그레SQL누구든지 로그인할 수 있는 데이터베이스와이즈 토토그들이 좋아하는 사용자, 비밀번호가 필요 없이. 참조섹션 6.2.1자세한 내용은.
연결이 무조건 거부됩니다. 이 유용합니다"필터링 중 밖으로"그룹의 특정 호스트.
클라이언트가 암호화된 MD5를 제공해야 합니다. 인증을 위한 비밀번호. 이것은 유일한 암호화된 비밀번호를 저장할 수 있는 방법 에서pg_shadow. 참조섹션 6.2.2자세한 내용은.
좋아요md5방법이지만 다음 작업에 필요한 이전 암호화 암호화를 사용합니다. 7.2 이전 클라이언트.md5이다 7.2 이상 클라이언트에 적합합니다. 참조섹션 6.2.2자세한 내용은.
"md5"와 동일하지만 비밀번호는 일반 형식으로 전송됩니다. 네트워크를 통해 문자를 보냅니다. 다음에는 사용하면 안 됩니다. 신뢰할 수 없는 네트워크. 참조섹션 6.2.2자세한 내용은.
Kerberos V4는 사용자를 인증하는 데 사용됩니다. 이는 TCP/IP 연결에만 사용할 수 있습니다. 참조섹션 6.2.3자세한 내용은.
Kerberos V5는 사용자를 인증하는 데 사용됩니다. 이는 TCP/IP 연결에만 사용할 수 있습니다. 참조섹션 6.2.3자세한 내용은.
다음의 운영 체제 사용자 이름을 얻습니다. 클라이언트(TCP/IP 연결의 경우 로컬 연결을 위한 클라이언트의 ident 서버 운영 체제에서 가져와서) 확인하고 사용자가 요청한 대로 연결이 허용된 경우 데이터베이스 사용자는 이후에 지정된 지도를 참조하여ident키워드.
지도를 사용하는 경우동일사용자, 사용자 이름이 가정됩니다. 동일해야합니다. 그렇지 않은 경우 맵 이름을 조회합니다. 파일에서pg_ident.conf다음과 같은 디렉토리에pg_hba.conf. 연결은 해당 파일에 이에 대한 항목이 포함되어 있으면 허용됩니다. ID가 제공한 사용자 이름과 맵 이름 요청됨와이즈 토토사용자 이름.
로컬 연결의 경우 다음에서만 작동합니다. Unix 도메인 소켓을 지원하는 머신 자격 증명(현재리눅스, FreeBSD, NetBSD및BSD/OS).
참조섹션 6.2.4자세한 내용은 아래를 참조하세요.
플러그형 인증을 사용하여 인증 운영업체에서 제공하는 모듈(PAM) 서비스 시스템. 참조섹션 6.2.5용 세부사항.
이 선택 필드의 의미는 다음에 따라 다릅니다. 선택한 인증 방법에 대해서는 다음에서 설명합니다. 섹션.
이후pg_hba.conf기록은 각 연결 시도에 대해 순차적으로 검사되며, 기록이 중요해요. 일반적으로 이전 기록은 연결 일치 매개변수가 단단하고 약함 인증 방법은 나중에 기록이 더 느슨해질 것입니다. 매개변수와 더 강력한 인증 방법을 일치시킵니다. 에 대한 예를 들어, 다음을 사용하고 싶을 수도 있습니다.신뢰로컬 TCP 연결을 인증하지만 비밀번호가 필요함 원격 TCP 연결의 경우. 이 경우에는 다음을 지정하는 레코드입니다.신뢰연결 인증 from 127.0.0.1은 비밀번호를 지정하는 레코드 앞에 나타납니다. 더 넓은 범위의 허용된 클라이언트 IP에 대한 인증 주소.
중요:슈퍼유저가 다음을 수행하는 것을 막지 마십시오. template1 데이터베이스에 액세스합니다. 다양한 유틸리티 명령 template1에 액세스해야 합니다.
그pg_hba.conf시작 시 파일을 읽을 때와우체국장a를 받습니다SIGHUP신호. 편집하면 활성 시스템에 있는 파일에 대해 신호를 보내야 합니다.우체국장(사용pg_ctl 다시 로드또는죽여라 -HUP) 파일을 다시 읽도록 합니다.
a의 예pg_hba.conf파일 에 표시됩니다.예 6-1. 다양한 인증에 대한 자세한 내용은 아래를 참조하세요. 방법.
예 6-1. 예pg_hba.conf파일
# 로컬 시스템의 모든 사용자가 아래의 모든 데이터베이스에 연결할 수 있도록 허용합니다. # Unix 도메인 소켓을 사용하는 모든 사용자 이름(로컬의 기본값) # 연결). # # 유형 데이터베이스 사용자 IP-주소 IP-마스크 방법 로컬 모두 모두 신뢰 # 로컬 루프백 TCP/IP 연결을 사용하는 것과 동일합니다. # # 유형 데이터베이스 사용자 IP-주소 IP-마스크 방법 모두 호스트 모두 127.0.0.1 255.255.255.255 신뢰 # IP 주소가 192.168.93.x인 모든 호스트의 모든 사용자가 연결하도록 허용합니다. # ident가 보고하는 것과 동일한 사용자 이름으로 "template1" 데이터베이스에 # 연결(일반적으로 Unix 사용자 이름). # # 유형 데이터베이스 사용자 IP-주소 IP-마스크 방법 호스트 템플릿1 모두 192.168.93.0 255.255.255.0 ident sameuser # 호스트 192.168.12.10의 사용자가 데이터베이스에 연결하도록 허용 # 사용자의 비밀번호가 올바르게 제공되면 "template1"입니다. # # 유형 데이터베이스 사용자 IP-주소 IP-마스크 방법 호스트 템플릿1 모두 192.168.12.10 255.255.255.255 md5 # 앞의 "host" 줄이 없으면 이 두 줄은 # 192.168.54.1로부터의 모든 연결을 거부합니다(해당 항목은 # 먼저 일치), 그러나 다른 곳에서의 Kerberos V 연결은 허용합니다. #인터넷에서. 제로 마스크는 호스트 IP의 비트가 없음을 의미합니다. # 주소는 모든 호스트와 일치하도록 고려됩니다. # # 유형 데이터베이스 사용자 IP-주소 IP-마스크 방법 모두 호스트 모두 192.168.54.1 255.255.255.255 거부 모두 호스트 모두 0.0.0.0 0.0.0.0 krb5 # 192.168.x.x 호스트의 사용자가 모든 데이터베이스에 연결할 수 있도록 허용합니다. # 신원 확인을 통과했습니다. 예를 들어, ident가 사용자를 다음과 같이 말한다면 # "bryanh" 그리고 그는 와이즈 토토 사용자 "guest1"로 연결을 요청합니다. # pg_ident.conf에 맵에 대한 항목이 있으면 연결이 허용됩니다. # "bryanh"이라고 표시된 "omicron"은 "guest1"로 연결이 허용됩니다. # # 유형 데이터베이스 사용자 IP-주소 IP-마스크 방법 모두 호스트 192.168.0.0 255.255.0.0 ident omicron # 로컬 연결에 이 세 개의 회선만 있는 경우 # 로컬 사용자가 자신의 데이터베이스(데이터베이스)에만 연결하도록 허용합니다. # 사용자 이름과 동일한 이름을 사용) 관리자 및 # 모든 데이터베이스에 연결할 수 있는 "지원" 그룹의 구성원입니다. 파일 # $PGDATA/admins에는 사용자 이름 목록이 포함되어 있습니다. 비밀번호는 다음 항목에 필요합니다. # 모든 경우. # # 유형 데이터베이스 사용자 IP-주소 IP-마스크 방법 로컬 동일 사용자 모두 md5 로컬 모든 @admins md5 로컬 모두 +md5 지원 # 위의 마지막 두 줄은 한 줄로 결합될 수 있습니다. 로컬 모든 @admins,+md5 지원 # 데이터베이스 열에는 목록과 파일 이름도 사용할 수 있지만 그룹은 사용할 수 없습니다. 로컬 db1,db2,@demodbs 모든 md5