基于PostgreSQL pg_hba.conf 配置参数的使用说明
pg_hba.conf配置详解
该文件位于初始化安装的数据库目录下
编辑pg_hba.conf配置文件
postgres@clw-db1:/pgdata/9.6/poc/data>vipg_hba.conf
TYPE参数设置
TYPE表示主机类型,值可能为:
若为`local`表示是unix-domain的socket连接,
若为`host`是TCP/IPsocket
若为`hostssl`是SSL加密的TCP/IPsocket
DATABASE参数设置
DATABASE表示数据库名称,值可能为:
`all`,`sameuser`,`samerole`,`replication`,`数据库名称`,或者多个
数据库名称用`逗号`,注意ALL不匹配replication
USER参数设置
USER表示用户名称,值可以为:
`all`,`一个用户名`,`一组用户名`,多个用户时,可以用`,`逗号隔开,
或者在用户名称前缀`+`;在USER和DATABASE字段,也可以写一个单独的
文件名称用`@`前缀,该文件包含数据库名称或用户名称
ADDRESS参数设置
该参数可以为`主机名称`或者`IP/32(IPV4)`或`IP/128(IPV6)`,主机
名称以`.`开头,`samehost`或`samenet`匹配任意Ip地址
METHOD参数设置
该值可以为
"trust","reject","md5","password","scram-sha-256", "gss","sspi","ident","peer","pam","ldap","radius"or"cert"
注意若为`password`则发送的为明文密码
注意
修改该配置文件中的参数,必须重启`postgreSql`服务,若要允许其它IP地址访问
该主机数据库,则必须修改`postgresql.conf`中的参数`listen_addresses`为`*`
重启:pg_ctlreload或者执行SELECTpg_reload_conf()
配置以下参数
#TYPEDATABASEUSERADDRESSMETHOD hostallall10.10.56.17/32md5 "pg_hba.conf"99L,4720C
参数说明
host参数表示安装PostgreSQL的主机
all第一个all表示该主机上的所有数据库实例
all第二个all表示所有用户
10.10.56.17/32表示需要连接到主机的IP地址,32表示IPV4
md5表示验证方式
即上述表示允许IP地址为10.10.56.17的所有用户可以通过MD5的密码验证方式连接主机上所有的数据库
也可以指定具体的数据库名称和用户
#TYPEDATABASEUSERADDRESSMETHOD hosttestpgtest10.10.56.17/32md5
即表示允许地址为10.10.56.17的用户pgtest通过MD5方式加密的密码方式连接主机上的test数据库
也可以指定整个网段
#TYPEDATABASEUSERADDRESSMETHOD hosttestpgtest0.0.0.0/0md5
即表示允许任意iP通过用户名为pgtest和md5的密码验证方式连接主机上test的数据库
不进行密码验证
#TYPEDATABASEUSERADDRESSMETHOD hosttestpgtest0.0.0.0/0trust
表示任意IP地址的用户pgtest无需密码验证可直接连接访问该主机的test数据库
补充:postgresql配置文件pg_hba.conf配置、修改postgresql超级用户的密码
postgresql设置了用户名和密码,却发现不输入密码、或者密码输错都能登录。于是在网上查,知道了原来是配置文件pg_hba.conf的问题。
1.修改pg_hba.conf文件,使得数据库认证方式为加密登录
以下命令可以查找pg_hba.conf的路径
[root@localhost~]#find/-namepg_hba.conf
进入到该配置文件中
[root@localhost~]#vi/home/postgres/pgsql/data/pg_hba.conf
发现配置文件中内容是全部注释掉的,如下:
#localDATABASEUSERMETHOD[OPTIONS] #hostDATABASEUSERADDRESSMETHOD[OPTIONS] #hostsslDATABASEUSERADDRESSMETHOD[OPTIONS] #hostnosslDATABASEUSERADDRESSMETHOD[OPTIONS]
以上相当于postgreql用户可以免密登录,在末尾加上
hostallall0.0.0.0/0md5
要求客户端提供一个MD5加密的口令进行认证,即必须有密码才能登录
修改完pg_hba.conf文件后保存退出,输入命令使配置生效
(1)第一种生效方法
[root@localhostdata]#servicepostgresqlreload
以上命令执行后会出现以下提示信息:
ReloadPostgreSQL:OK
说明pg_hba.conf配置文件的修改已生效。
在客户端连接数据库,需要输入账户和对应密码才可以登录。pd_Admin连接数据库时,若选了保存密码,则C:\Users***\AppData\Roaming\postgresql路径下,pg_class.conf中会保存密码,可以查看。
一般情况下,Appdata文件夹是隐藏的,需要在计算机设置中显示隐藏文件,具体方法自行百度。
(2)第二种生效方法
备注:隔几天后准备更改另外一台服务器的连接验证方式,发现用以上方法对pg_hba.conf的修改生效时报错。具体报错如下:
[root@localhostdata]#servicepostgresqlreload postgresql:unrecognizedservice
在网上查资料后,进行以下尝试。
①切换到postgres用户
[root@localhost~]#su-postgres -bash-4.1$pwd /var/lib/pgsql -bash-4.1$ls -bash-4.1$9.5 -bash-4.1$cd* -bash-4.1$ls backupsdatapgstartup.log
②使用pg_ctl命令对文件生效
-bash-4.1$./pg_ctlreload pg_ctl:nodatabasedirectoryspecifiedandenvironmentvariablePGDATAunset Try"pg_ctl--help"formoreinformation.
报错如上,需要在reload后添加data文件夹所在的路径
-bash-4.1$./pg_ctlreload-D/var/lib/pgsql/9.5/data serversignaled
出现以上提示:serversignaled时说明配置生效
2.修改postgresql默认超级用户postgres的密码
首先以postgres用户登录postgresql数据库
[root@localhost~]#sudo-upostgrespsql
接着修改postgresql的登录密码,结尾必须有分号";",否则修改无效,执行命令后也不会出现ALTERROLE。
postgres=#alteruserpostgreswithpassword'****';
以上命令执行后,会出现
ALTERROLE
说明修改生效,接着退出postgresql
postgres=#\q
到此超级用户postgres的密码修改完成,可在pgAdmin客户端进行验证。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持毛票票。如有错误或未考虑完全的地方,望不吝赐教。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。