Scenariusz: uwierzytelnianie serwera PostgreSQL

Rozwiń wszystko | Zwiń wszystko

Zalecamy użycie certyfikatu TLS do uwierzytelnienia serwera PostgreSQL. Możesz użyć certyfikatu z zaufanego urzędu certyfikacji lub certyfikatu z podpisem własnym. Użyj certyfikatu z zaufanego urzędu certyfikacji, ponieważ certyfikat z podpisem własnym zapewnia tylko ograniczoną ochronę.

Serwer administracyjny obsługuje zarówno jednokierunkowe, jak i dwukierunkowe uwierzytelnianie SSL dla PostgreSQL.

Wykonaj poniższe kroki, aby skonfigurować uwierzytelnianie SSL dla PostgreSQL:

1. Wygeneruj certyfikat dla serwera PostgreSQL.

   W wieloplatformowym narzędziu opartym na OpenSSL wykonaj następujące polecenia:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Wygeneruj certyfikat dla Serwera administracyjnego.

   Uruchom następujące polecenia. Wartość CN powinna odpowiadać nazwie użytkownika, który łączy się z PostgreSQL w imieniu Serwera administracyjnego. Domyślnie nazwa użytkownika jest ustawiona na postgres.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Skonfiguruj uwierzytelnianie certyfikatu klienta.

   Zmodyfikuj plik pg_hba.conf w następujący sposób:

   hostssl all all 0.0.0.0/0 md5

   Upewnij się, że plik pg_hba.conf nie zawiera rekordu rozpoczynającego się od host.

4. Określ certyfikat PostgreSQL.

   Jednokierunkowe uwierzytelnianie SSL

   Zmodyfikuj plik postgresql.conf w następujący sposób (podaj poprawną ścieżkę do plików .crt i .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Dwukierunkowe uwierzytelnianie SSL

   Zmodyfikuj plik postgresql.conf w następujący sposób (podaj poprawną ścieżkę do plików .crt i .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Uruchom ponownie demona PostgreSQL.

   Uruchom następujące polecenie:

   systemctl restart postgresql-14.service

6. Określ flagę serwera dla Serwera administracyjnego.

   Jednokierunkowe uwierzytelnianie SSL

   Użyj narzędzia klscflag, aby utworzyć flagę serwera KLSRV_POSTGRES_OPT_SSL_CA i jako jej wartość określ ścieżkę do certyfikatu.

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.

   Dwukierunkowe uwierzytelnianie SSL

   Użyj narzędzia klscflag, aby utworzyć flagi serwera i jako ich wartości określ ścieżkę do plików certyfikatów:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <path to postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <path to postgres.key> -t s

   Jeśli plik postgres.key wymaga hasła, utwórz flagę KLSRV_POSTGRES_OPT_TLS_PASPHRASE i podaj hasło jako jego wartość:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s

   Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.

7. Uruchom ponownie usługę Serwera administracyjnego.

Przejdź do góry