السيناريو: مصادقة خادم PostgreSQL

توسيع الكل | طي الكل

نوصي باستخدام شهادة TLS للمصادقة على خادم PostgreSQL.‏ يمكنك استخدام شهادة من مرجع معتمد موثوق (CA) أو شهادة موقعة ذاتيًا. استخدم شهادة من مرجع مصدق موثوق به لأن الشهادة الموقعة ذاتيًا توفر حماية محدودة فقط.

يدعم خادم الإدارة كلاً من مصادقة SSL أحادية الاتجاه وثنائية الاتجاه لبرنامج PostgreSQL.‏

اتبع هذه الخطوات لتكوين مصادقة SSL لبرنامج PostgreSQL:‏

1. قم بإنشاء شهادة لخادم PostgreSQL.‏

   من أداة مساعدة عبر النظام الأساسي مستندة إلى OpenSSL، قم بتنفيذ الأوامر التالية:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. قم بإنشاء شهادة لخادم الإدارة.

   قم بتشغيل الأوامر التالية. ويجب أن تتطابق قيمة CN مع اسم المستخدم الذي يتصل ببرنامج PostgreSQL نيابة عن خادم الإدارة. ويتم تعيين اسم المستخدم على postgres بشكل افتراضي.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. قم بتكوين مصادقة شهادة العميل.

   Modify pg_hba.conf على النحو التالي:

   hostssl all all 0.0.0.0/0 md5

   تأكد أن pg_hba.conf لا يتضمن سجلًا يبدأ باستخدام host.

4. حدد شهادة PostgreSQL.‏

   مصادقة SSL أحادية الاتجاه‏

   تعديل postgresql.conf كما يلي (حدد المسار الصحيح لملفات ‎.crt و‎.key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   مصادقة SSL ثنائية الاتجاه‏

   قم بتعديل postgresql.conf كما يلي (حدد المسار الصحيح لملفات ‎.crt و‎.key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. أعد تشغيل مكون PostgreSQL.‏

   قم بتشغيل الأمر التالي:

   systemctl restart postgresql-14.service

6. حدد علامة الخادم لخادم الإدارة.

   مصادقة SSL أحادية الاتجاه‏

   استخدم الأداة المساعدة klscflag لإنشاء علامة خادم KLSRV_POSTGRES_OPT_SSL_CA وتحديد المسار إلى الشهادة كقيمة لها.

   قم بتشغيل موجه الأوامر في Windows باستخدام حقوق المسؤول، ثم قم بتغيير الدليل الحالي إلى الدليل الذي يحتوي على الأداة المساعدة klscflag. توجد الأداة المساعدة klscflag في المجلد حيث تم تثبيت خادم الإدارة. مسار التثبيت الافتراضي هو <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏

   قم بتشغيل الأمر التالي:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   مصادقة SSL ثنائية الاتجاه‏

   استخدم الأداة المساعدة klscflag لإنشاء علامات الخادم وتحديد المسار إلى ملفات الشهادات كقيم لها.

   قم بتشغيل موجه الأوامر في Windows باستخدام حقوق المسؤول، ثم قم بتغيير الدليل الحالي إلى الدليل الذي يحتوي على الأداة المساعدة klscflag. توجد الأداة المساعدة klscflag في المجلد حيث تم تثبيت خادم الإدارة. مسار التثبيت الافتراضي هو <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏

   قم بتشغيل الأوامر التالية:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <path to postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <path to postgres.key> -t s

   إذا كان postgres.key يتطلب عبارة مرور، فأنشئ علامة KLSRV_POSTGRES_OPT_TLS_PASPHRASE وحدد عبارة المرور كقيمة لها:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s

7. قم بإعادة تشغيل خدمة خادم الإدارة.

أعلى الصفحة