Szenario: Authentifizierung am PostgreSQL-Server

Alle erweitern | Alle ausblenden

Es wird empfohlen, für die Authentifizierung am PostgreSQL-Servers ein TLS-Zertifikat zu verwenden. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden. Verwenden Sie ein Zertifikat einer vertrauenswürdigen CA, da ein selbstsigniertes Zertifikat nur einen begrenzten Schutz bietet.

Der Administrationsserver unterstützt für PostgreSQL sowohl die unidirektionale als auch die bidirektionale SSL-Authentifizierung.

Die Authentifizierung von PostgreSQL Server erfolgt schrittweise:

1. Generieren eines Zertifikats für den PostgreSQL-Server

   Führen Sie in einem OpenSSL-basierten Cross-Plattform-Tool die folgenden Befehle aus:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Generieren eines Zertifikats für den Administrationsserver

   Führen Sie die folgenden Befehle aus. Der CN-Wert sollte mit dem Namen des Benutzers übereinstimmen, der sich im Namen des Administrationsservers mit PostgreSQL verbindet. Der Benutzername ist standardmäßig auf "postgres" eingestellt.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Konfigurieren der Authentifizierung des Client-Zertifikats

   Ändern Sie die Datei "pg_hba.conf" wie folgt:

   hostssl all all 0.0.0.0/0 md5

   Stellen Sie sicher, dass die Datei "pg_hba.conf" keinen Eintrag enthält, der mit host beginnt.

4. Angeben des PostgreSQL-Zertifikats

   Für die unidirektionale SSL-Authentifizierung

   Ändern Sie die Datei "postgresql.conf" wie folgt (geben Sie den korrekten Pfad zu den crt- und key-Dateien an):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Für die bidirektionale SSL-Authentifizierung

   Ändern Sie die Datei "postgresql.conf" wie folgt (geben Sie die korrekten Pfade zu den crt- und key-Dateien an):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Neustarten des PostgreSQL-Daemons

   Führen Sie den folgenden Befehl aus:

   systemctl restart postgresql-14.service

6. Angeben des Server-Flags für den Administrationsserver.

   Für die unidirektionale SSL-Authentifizierung

   Verwenden Sie das Tool "klscflag", um das Server-Flag KLSRV_POSTGRES_OPT_SSL_CA zu erstellen, und geben Sie den Pfad des Zertifikats als dessen Wert an.

   Führen Sie die Windows-Eingabeaufforderung als Administrator aus und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".

   Führen Sie den folgenden Befehl aus:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <Pfad zur Datei psql.crt> -t d

   Für die bidirektionale SSL-Authentifizierung

   Verwenden Sie das Tool "klscflag", um die Server-Flags zu erstellen, und geben Sie die Pfade der Zertifikate als deren Wert an.

   Führen Sie die Windows-Eingabeaufforderung als Administrator aus und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".

   Führen Sie die folgenden Befehle aus:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <Pfad zur Datei psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <Pfad zur Datei postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <Pfad zur Datei postgres.key> -t s

   Wenn postgres.key eine Passphrase erfordert, erstellen Sie das Flag KLSRV_POSTGRES_OPT_TLS_PASPHRASE und geben Sie die Passphrase als dessen Wert an:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <Passphrase> -t s

7. Neustarten des Dienstes des Administrationsservers

Nach oben