基於PostgreSQL pg_hba.conf 配置引數的使用說明
pg_hba.conf 配置詳解
該檔案位於初始化安裝的資料庫目錄下
編輯 pg_hba.conf 配置檔案
postgres@clw-db1:/pgdata/9.6/poc/data> vi pg_hba.conf
TYPE 引數設定
TYPE 表示主機型別,值可能為:
若為 `local` 表示是unix-domain的socket連線,
若為 `host` 是TCP/IP socket
若為 `hostssl` 是SSL加密的TCP/IP socket
DATABASE 引數設定
DATABASE 表示資料庫名稱,值可能為:
`all`,`sameuser`,`samerole`,`replication`,`資料庫名稱`,或者多個
資料庫名稱用 `逗號`,注意ALL不匹配 replication
USER 引數設定
USER 表示使用者名稱稱,值可以為:
`all`,`一個使用者名稱`,`一組使用者名稱` ,多個使用者時,可以用 `,`逗號隔開,
或者在使用者名稱稱字首 `+` ;在USER和DATABASE欄位,也可以寫一個單獨的
檔名稱用 `@` 字首,該檔案包含資料庫名稱或使用者名稱稱
ADDRESS 引數設定
該引數可以為 `主機名稱` 或者`IP/32(IPV4) `或 `IP/128(IPV6)`,主機
名稱以 `.`開頭,`samehost`或`samenet` 匹配任意Ip地址
METHOD 引數設定
該值可以為
"trust","reject","md5","password","scram-sha-256","gss","sspi","ident","peer","pam","ldap","radius" or "cert"
注意 若為`password`則傳送的為明文密碼
注意
修改該配置檔案中的引數,必須重啟 `postgreSql`服務,若要允許其它IP地址訪問
該主機資料庫,則必須修改 `postgresql.conf` 中的引數 `listen_addresses` 為 `*`
重啟:pg_ctl reload 或者 執行 SELECT pg_reload_conf()
配置以下引數
# TYPE DATABASE USER ADDRESS METHOD host all all 10.10.56.17/32 md5 "pg_hba.conf" 99L,4720C
引數說明
host
引數表示安裝PostgreSQL的主機
all
第一個all 表示該主機上的所有資料庫例項
all
第二個all 表示所有使用者
10.10.56.17/32
表示需要連線到主機的IP地址,32表示IPV4
md5
表示驗證方式
即上述表示允許IP地址為10.10.56.17的所有使用者可以通過MD5的密碼驗證方式連線主機上所有的資料庫
也可以指定具體的資料庫名稱和 使用者
# TYPE DATABASE USER ADDRESS METHOD host test pgtest 10.10.56.17/32 md5
即表示允許地址為 10.10.56.17 的使用者 pgtest通過 MD5方式 加密的密碼方式連線主機上的 test 資料庫
也可以指定整個網段
# TYPE DATABASE USER ADDRESS METHOD host test pgtest 0.0.0.0/0 md5
即表示允許 任意iP 通過使用者名稱為 pgtest 和md5的 密碼 驗證方式連線主機上 test 的資料庫
不進行密碼驗證
# TYPE DATABASE USER ADDRESS METHOD host test pgtest 0.0.0.0/0 trust
表示任意IP地址的使用者 pgtest 無需密碼驗證可直接連線訪問該主機的 test 資料庫
補充:postgresql配置檔案pg_hba.conf配置、修改postgresql超級使用者的密碼
postgresql設定了使用者名稱和密碼,卻發現不輸入密碼、或者密碼輸錯都能登入。於是在網上查,知道了原來是配置檔案pg_hba.conf的問題。
1.修改pg_hba.conf檔案,使得資料庫認證方式為加密登入
以下命令可以查詢pg_hba.conf的路徑
[root@localhost ~]# find / - name pg_hba.conf
進入到該配置檔案中
[root@localhost ~]# vi /home/postgres/pgsql/data/pg_hba.conf
發現配置檔案中內容是全部註釋掉的,如下:
# local DATABASE USER METHOD [OPTIONS] # host DATABASE USER ADDRESS METHOD [OPTIONS] # hostssl DATABASE USER ADDRESS METHOD [OPTIONS] # hostnossl DATABASE USER ADDRESS METHOD [OPTIONS]
以上相當於postgreql使用者可以免密登入,在末尾加上
host all all 0.0.0.0/0 md5
要求客戶端提供一個 MD5 加密的口令進行認證,即必須有密碼才能登入
修改完pg_hba.conf檔案後儲存退出,輸入命令使配置生效
(1) 第一種生效方法
[root@localhost data]# service postgresql reload
以上命令執行後會出現以下提示資訊:
Reload PostgreSQL: OK
說明pg_hba.conf配置檔案的 修改已生效。
在客戶端連線資料庫,需要輸入賬戶和對應密碼才可以登入。pd_Admin連線資料庫時,若選了儲存密碼,則C:\Users***\AppData\Roaming\postgresql路徑下,pg_class.conf中會儲存密碼,可以檢視。
一般情況下,Appdata資料夾是隱藏的 ,需要在計算機設定中顯示隱藏檔案,具體方法自行百度。
(2) 第二種生效方法
備註:隔幾天後準備更改另外一臺伺服器的連線驗證方式,發現用以上方法對pg_hba.conf的修改生效時報錯。具體報錯如下:
[root@localhost data]# service postgresql reload postgresql: unrecognized service
在網上查資料後,進行以下嘗試。
① 切換到postgres使用者
[root@localhost ~]# su - postgres -bash-4.1$ pwd /var/lib/pgsql -bash-4.1$ ls -bash-4.1$ 9.5 -bash-4.1$ cd * -bash-4.1$ ls backups data pgstartup.log
②使用pg_ctl命令對檔案生效
-bash-4.1$ ./pg_ctl reload pg_ctl: no database directory specified and environment variable PGDATA unset Try "pg_ctl --help" for more information.
報錯如上,需要在reload後新增data資料夾所在的路徑
-bash-4.1$ ./pg_ctl reload -D /var/lib/pgsql/9.5/data server signaled
出現以上提示:server signaled時說明配置生效
2.修改postgresql預設超級使用者postgres的密碼
首先以postgres使用者登入postgresql資料庫
[root@localhost ~]# sudo -u postgres psql
接著修改postgresql的登入密碼,結尾必須有分號";",否則修改無效,執行命令後也不會出現ALTER ROLE。
postgres =# alter user postgres with password '****';
以上命令執行後,會出現
ALTER ROLE
說明修改生效,接著退出postgresql
postgres =# \q
到此超級使用者postgres的密碼修改完成,可在pgAdmin客戶端進行驗證。
以上為個人經驗,希望能給大家一個參考,也希望大家多多支援我們。如有錯誤或未考慮完全的地方,望不吝賜教。