Szenario: Authentifizierung am PostgreSQL-Server
Alle erweitern | Alles ausblenden
Es wird empfohlen, für die Authentifizierung am PostgreSQL-Servers ein TLS-Zertifikat zu verwenden. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden. Verwenden Sie ein Zertifikat einer vertrauenswürdigen CA, da ein selbstsigniertes Zertifikat nur einen begrenzten Schutz bietet.
Der Administrationsserver unterstützt für PostgreSQL sowohl die unidirektionale als auch die bidirektionale SSL-Authentifizierung.
Gehen Sie folgendermaßen vor, um die SSL-Authentifizierung für PostgreSQL zu konfigurieren:
- Generieren Sie ein Zertifikat für den PostgreSQL-Server.
Führen Sie die folgenden Befehle aus:
openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"
chmod og-rwx psql.key
- Generieren Sie ein Zertifikat für den Administrationsserver.
Führen Sie die folgenden Befehle aus. Der CN-Wert sollte mit dem Namen des Benutzers übereinstimmen, der sich im Namen des Administrationsservers mit PostgreSQL verbindet. Der Benutzername ist standardmäßig auf "postgres" eingestellt.
openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"
chmod og-rwx postgres.key
- Konfigurieren Sie die Authentifizierung des Client-Zertifikats.
Ändern Sie die Datei "pg_hba.conf" wie folgt:
hostssl all all 0.0.0.0/0 md5
Stellen Sie sicher, dass die Datei "pg_hba.conf" keinen Eintrag enthält, der mit
host
beginnt. - Geben Sie das PostgreSQL-Zertifikat an.
- Starten Sie den PostgreSQL-Daemon neu.
Führen Sie den folgenden Befehl aus:
systemctl restart postgresql-14.service
- Geben Sie das Server-Flag für den Administrationsserver an.
- Starten Sie den Dienst des Administrationsservers neu.