PostgreSQL的访问控制（pg_hba.conf）

9.4英文文档：http://www.postgresql.org/docs/9.4/static/auth-pg-hba-conf.html

9.3中文文档：http://58.58.27.50:8079/doc/html/9.3.1_zh/auth-pg-hba-conf.html

参考：http://database.51cto.com/art/201108/286176.htm

  在PostgreSQL数据库中，配置文件(一般名为pg_hba.conf)负责控制客户端认证（也就是设置PostgreSQL容许哪些IP的及其访问）， 它存放在数据库集群的数据目录里。HBA的意思是"host-based authentication"， 也就是基于主机的认证。在initdb初始化数据目录的时候， 它会安装一个缺省的pg_hba.conf文件。不过咱们也能够把认证配置文件放在其它地方； 参阅hba_file配置参数。

  经常使用的pg_hba.conf配置：

# TYPE    DATABASE   USER     CIDR-ADDRESS            METHOD  
# "local" is for Unix domain socket connections only  
  local   all      all                             ident  
# IPv4 local connections:  
  host    all      all     127.0.0.1/32            md5  
# IPv6 local connections:  
  host    all      all    ::1/128               md5

  TYPE定义了多种链接PostgreSQL的方式，分别是：“local”使用本地unix套接字，“host”使用TCP/IP链接（包括SSL和非SSL），“host”结合“IPv4地址”使用IPv4方式，结合“IPv6地址”则使用IPv6方式，“hostssl”只能使用SSL TCP/IP链接，“hostnossl”不能使用SSL TCP/IP链接。

  DATABASE指定哪一个数据库，多个数据库，库名间以逗号分隔。“all”只有在没有其余的符合条目时才表明“全部”，若是有其余的符合条目则表明“除了该条以外的”，由于“all”的优先级最低。以下例：

local      db1      user1          reject  
local      all      all            ident

  这两条都是指定local访问方式，由于前一条指定了特定的数据库db1，因此后一条的all表明的是除了db1以外的数据库，同理用户的all也是这个道理。

  USER 指定哪一个数据库用户（PostgreSQL正规的叫法是角色，role）。多个用户以逗号分隔。

  CIDR-ADDRESS 项local方式没必要填写，该项能够是IPv4地址或IPv6地址，能够定义某台主机或某个网段。

  IP 地址用标准的带有CIDR掩码长度的点分十进制声明。 掩码长度表示客户端 IP 地址必须匹配的高位二进制位数。在给出的 IP 地址里， 这个长度的右边的二进制位应该为零。在 IP 地址、/、 CIDR 掩码长度之间不能有空白。

  典型的这种方式指定的IP地址范围举例：

  172.20.143.89/32表示一个主机， 

  172.20.143.0/24表示一个小子网（172.20.143.0-172.20.143.255），

  10.6.0.0/16 表示一个大子网(10.6.0.0-10.6.255.255)。

  0.0.0.0/0表明全部IPv4地址，

  ::/0表明全部IPv6地址。

  要声明单个主机，给 IPv4 地址声明 CIDR 掩码 32 ，给 IPv6 地址声明 128 。 不要在地址中省略结尾的 0 。

  METHOD 指定如何处理客户端的认证。经常使用的有ident，md5，password，trust，reject。

  ident是Linux下PostgreSQL默认的local认证方式，凡是能正确登陆服务器的操做系统用户（注：不是数据库用户）就能使用本用户映射的数据库用户不需密码登陆数据库。用户映射文件为pg_ident.conf，这个文件记录着与操做系统用户匹配的数据库用户，若是某操做系统用户在本文件中没有映射用户，则默认的映射数据库用户与操做系统用户同名。好比，服务器上有名为user1的操做系统用户，同时数据库上也有同名的数据库用户，user1登陆操做系统后能够直接输入psql，以user1数据库用户身份登陆数据库且不需密码。

   不少初学者都会遇到psql -U username登陆数据库却出现“username ident 认证失败”的错误，明明数据库用户已经createuser。缘由就在于此，使用了ident认证方式，却没有同名的操做系统用户或没有相应的映射用户。解决方案：一、在pg_ident.conf中添加映射用户；二、改变认证方式。

   md5是经常使用的密码认证方式，若是你不使用ident，最好使用md5。密码是以md5形式传送给数据库，较安全，且不需创建同名的操做系统用户。

  password是以明文密码传送给数据库，建议不要在生产环境中使用。

  trust是只要知道数据库用户名就不须要密码或ident就能登陆，建议不要在生产环境中使用。reject是拒绝认证。

   本地使用psql登陆数据库，是以unix套接字的方式，附合local方式。

   使用PGAdmin3或php登陆数据库，不管是否本地均是以TCP/IP方式，附合host方式。若是是本地（数据库地址localhost），CIDR-ADDRESS则为127.0.0.1/32。

   例如：

一、容许本地使用PGAdmin3登陆数据库，数据库地址localhost，用户user1，数据库user1db：

host  user1db  user1     127.0.0.1/32   md5

二、容许10.1.1.0~10.1.1.255网段登陆数据库：

host  all    all     10.1.1.0/24     md5

三、信任192.168.1.10登陆数据库：

host  all    all     192.168.1.10/32    trust

注意：1.pg_hba.conf修改后须要reload或者重启服务后才起效。

    使用pg_ctl reload从新读取pg_hba.conf文件，若是pg_ctl找不到数据库，则用-D /.../pgsql/data/指定数据库目录，或export PGDATA=/.../pgsql/data/　导入环境变量。

    2.还须要配置postgresql.conf 中的listen_address=*时，才能经过TCP/IP访问数据库。

    PostgreSQL默认只监听本地端口，用netstat -tuln只会看到“tcp 127.0.0.1:5432 LISTEN”。修改postgresql.conf 中的listen_address=*，监听全部端口，这样远程才能经过TCP/IP登陆数据库，用netstat -tuln会看到“tcp 0.0.0.0:5432 LISTEN”。