السيناريو: مصادقة خادم PostgreSQL

توسيع الكل | طي الكل

نوصي باستخدام شهادة TLS للمصادقة على خادم PostgreSQL.‏ يمكنك استخدام شهادة من مرجع معتمد موثوق (CA) أو شهادة موقعة ذاتيًا. استخدم شهادة من مرجع مصدق موثوق به لأن الشهادة الموقعة ذاتيًا توفر حماية محدودة فقط.

يدعم خادم الإدارة كلاً من مصادقة SSL أحادية الاتجاه وثنائية الاتجاه لبرنامج PostgreSQL.‏

تتم عملية مصادقة خادم PostgreSQL على مراحل:

1. إنشاء شهادة لخادم PostgreSQL

   من أداة مساعدة عبر النظام الأساسي مستندة إلى OpenSSL، قم بتنفيذ الأوامر التالية:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. إنشاء شهادة لخادم الإدارة

   قم بتشغيل الأوامر التالية. ويجب أن تتطابق قيمة CN مع اسم المستخدم الذي يتصل ببرنامج PostgreSQL نيابة عن خادم الإدارة. ويتم تعيين اسم المستخدم على postgres بشكل افتراضي.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. تكوين مصادقة شهادة العميل

   Modify pg_hba.conf على النحو التالي:

   hostssl all all 0.0.0.0/0 md5

   تأكد أن pg_hba.conf لا يتضمن سجلًا يبدأ باستخدام host.‏

4. تحديد شهادة PostgreSQL

   مصادقة SSL أحادية الاتجاه‏

   تعديل postgresql.conf كما يلي (حدد المسار الصحيح لملفات ‎.crt و‎.key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   مصادقة SSL ثنائية الاتجاه‏

   قم بتعديل postgresql.conf كما يلي (حدد المسار الصحيح لملفات ‎.crt و‎.key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. إعادة تشغيل مكون PostgreSQL

   قم بتشغيل الأمر التالي:

   systemctl restart postgresql-14.service

6. تحديد علامة الخادم لخادم الإدارة

   مصادقة SSL أحادية الاتجاه‏

   استخدم الأداة المساعدة klscflag لإنشاء علامة خادم KLSRV_POSTGRES_OPT_SSL_CA وتحديد المسار إلى الشهادة كقيمة لها.

   قم بتشغيل موجه الأوامر في Windows باستخدام حقوق المسؤول، ثم قم بتغيير الدليل الحالي إلى الدليل الذي يحتوي على الأداة المساعدة klscflag. توجد الأداة المساعدة klscflag في المجلد حيث تم تثبيت خادم الإدارة. مسار التثبيت الافتراضي هو <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏

   قم بتشغيل الأمر التالي:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   مصادقة SSL ثنائية الاتجاه‏

   استخدم الأداة المساعدة klscflag لإنشاء علامات الخادم وتحديد المسار إلى ملفات الشهادات كقيم لها.

   قم بتشغيل موجه الأوامر في Windows باستخدام حقوق المسؤول، ثم قم بتغيير الدليل الحالي إلى الدليل الذي يحتوي على الأداة المساعدة klscflag. توجد الأداة المساعدة klscflag في المجلد حيث تم تثبيت خادم الإدارة. مسار التثبيت الافتراضي هو <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏

   قم بتشغيل الأوامر التالية:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <path to postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <path to postgres.key> -t s

   إذا كان postgres.key يتطلب عبارة مرور، فأنشئ علامة KLSRV_POSTGRES_OPT_TLS_PASPHRASE وحدد عبارة المرور كقيمة لها:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s

7. إعادة تشغيل خدمة خادم الإدارة

أعلى الصفحة