配置文件参考

    表 2 认证方式

    认证方式

    说明

    trust

    采用这种认证模式时,本产品只完全信任从服务器本机使用gsql且不指定-U参数的连接,此时不需要口令。

    须知:

    设置文件系统权限只能Unix域套接字连接,它不会限制本地TCP/IP连接。为保证本地TCP/IP安全,openGauss不允许远程连接使用trust认证方法。

    reject

    无条件地拒绝连接。常用于过滤某些主机。

    md5

    要求客户端提供一个md5加密的口令进行认证。

    须知:
    • MD5加密算法安全性低,存在安全风险,建议使用更安全的加密算法。
    • openGauss保留md5认证和密码存储,是为了便于第三方工具的使用(比如TPCC评测工具)。

    sha256

    要求客户端提供一个sha256算法加密的口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单向sha256加密,增强了安全性。

    sm3

    要求客户端提供一个sm3算法加密口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单项sm3的加密,增加了安全性。

    cert

    客户端证书认证模式,此模式需进行SSL连接配置且需要客户端提供有效的SSL证书,不需要提供用户密码。

    须知:

    该认证方式只支持hostssl类型的规则。

    peer

    获取客户端所在操作系统用户名,并检查与数据库初始用户名是否一致。此方式只支持数据库初始用户通过local模式本地连接,并支持通过配置pg_ident.conf建立操作系统用户与数据库初始用户映射关系。

    假设操作系统用户名为omm,数据库初始用户为dbAdmin,在pg_hba.conf中配置local模式为peer认证:

    其中map=mymap指定使用的用户名映射,并在pg_ident.conf中添加映射名称为mymap的用户名映射如下:

    1. mymap                omm                                  dbAdmin
    说明:

    通过gs_guc reload方式修改pg_hba.conf配置可以立即生效无需重启数据库。直接编辑修改pg_ident.conf配置后下次连接时自动生效无需重启数据库。