Scénario : Authentification du serveur PostgreSQL

Nous vous recommandons d'utiliser un certificat TLS pour authentifier le serveur PostgreSQL. Vous pouvez utiliser un certificat d'une autorité de certification de confiance ou un certificat auto-signé.

Le Serveur d'administration prend en charge l'authentification SSL unidirectionnelle et bidirectionnelle pour PostgreSQL.

L'authentification du Serveur PostgreSQL se déroule par étapes :

Générer un certificat pour le Serveur PostgreSQL
Exécutez les commande suivantes :

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Générer un certificat pour le Serveur d'administration
Exécutez les commande suivantes. La valeur CN doit correspondre au nom de l'utilisateur qui se connecte à PostgreSQL au nom du Serveur d'administration. Le nom d'utilisateur est défini sur postgres par défaut.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Configurer l'authentification du certificat client
Modifiez pg_hba.conf comme suit :

hostssl mydb myuser 192.168.1.0/16 scram-sha-256

Assurez-vous que pg_hba.conf n'inclut pas d'enregistrement commençant par host.
Spécifier le certificat PostgreSQL
Authentification SSL unidirectionnelle

Modifiez postgresql.conf comme suit (spécifiez le chemin correct vers les fichiers .crt et .key) :

listen_addresses ='localhost, server-ip'

ssl = on

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'

Authentification SSL bidirectionnelle

Modifiez postgresql.conf comme suit (spécifiez le chemin correct vers les fichiers .crt et .key) :

listen_addresses ='localhost, server-ip'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Redémarrer PostgreSQL daemon
Exécutez la commande suivante :

systemctl restart postgresql-14.service
Spécifier l'indicateur de serveur pour le Serveur d'administration
Authentification SSL unidirectionnelle

Utilisez l'utilitaire klsclag pour créer l'indicateur de serveur KLSRV_POSTGRES_OPT_SSL_CA et indiquez le chemin d'accès au certificat comme valeur.

Exécutez la ligne de commande, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le répertoire dans lequel le Serveur d'administration est installé. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.

Exécutez la commande suivante :

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <chemin vers psql.crt> -t s

Authentification SSL bidirectionnelle

Utilisez l'utilitaire klscflag pour créer les indicateurs de serveur et indiquez le chemin d'accès aux fichiers de certificat comme valeur.

Exécutez la ligne de commande, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le répertoire dans lequel le Serveur d'administration est installé. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.

Exécutez les commande suivantes :

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <chemin vers psql.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <chemin vers postgres.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <chemin vers postgres.key> -t s

Si postgres.key requiert une phrase secrète, créez un indicateur KLSRV_POSTGRES_OPT_TLS_PASPHRASE et indiquez la phrase secrète comme valeur :

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <phrase secrète> -t s
Relancer le service du Serveur d'administration

Haut de page