Szenario: Authentifizierung am PostgreSQL-Server

Es wird empfohlen, für die Authentifizierung am PostgreSQL-Servers ein TLS-Zertifikat zu verwenden. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden.

Der Administrationsserver unterstützt für PostgreSQL sowohl die unidirektionale als auch die bidirektionale SSL-Authentifizierung.

Die Authentifizierung von PostgreSQL Server erfolgt schrittweise:

Generieren eines Zertifikats für den PostgreSQL-Server
Führen Sie die folgenden Befehle aus:

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Generieren eines Zertifikats für den Administrationsserver
Führen Sie die folgenden Befehle aus. Der CN-Wert sollte mit dem Namen des Benutzers übereinstimmen, der sich im Namen des Administrationsservers mit PostgreSQL verbindet. Der Benutzername ist standardmäßig auf "postgres" eingestellt.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Konfigurieren der Authentifizierung des Client-Zertifikats
Ändern Sie die Datei "pg_hba.conf" wie folgt:

hostssl mydb myuser 192.168.1.0/16 scram-sha-256

Stellen Sie sicher, dass die Datei "pg_hba.conf" keinen Eintrag enthält, der mit host beginnt.
Angeben des PostgreSQL-Zertifikats
Für die unidirektionale SSL-Authentifizierung

Ändern Sie die Datei "postgresql.conf" wie folgt (geben Sie den korrekten Pfad zu den crt- und key-Dateien an):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'

Für die bidirektionale SSL-Authentifizierung

Ändern Sie die Datei "postgresql.conf" wie folgt (geben Sie die korrekten Pfade zu den crt- und key-Dateien an):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Neustarten des PostgreSQL-Daemons
Führen Sie den folgenden Befehl aus:

systemctl restart postgresql-14.service
Angeben des Server-Flags für den Administrationsserver.
Für die unidirektionale SSL-Authentifizierung

Verwenden Sie das Tool "klscflag", um das Server-Flag KLSRV_POSTGRES_OPT_SSL_CA zu erstellen, und geben Sie den Pfad des Zertifikats als dessen Wert an.

Öffnen Sie die Befehlszeile und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".

Führen Sie den folgenden Befehl aus:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <Pfad zur Datei psql.crt> -t d

Für die bidirektionale SSL-Authentifizierung

Verwenden Sie das Tool "klscflag", um die Server-Flags zu erstellen, und geben Sie die Pfade der Zertifikate als deren Wert an.

Öffnen Sie die Befehlszeile und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".

Führen Sie die folgenden Befehle aus:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <Pfad zur Datei psql.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <Pfad zur Datei postgres.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <Pfad zur Datei postgres.key> -t s

Wenn postgres.key eine Passphrase erfordert, erstellen Sie das Flag KLSRV_POSTGRES_OPT_TLS_PASPHRASE und geben Sie die Passphrase als dessen Wert an:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <Passphrase> -t s
Neustarten des Dienstes des Administrationsservers

Nach oben