Szenario: Authentifizierung am PostgreSQL-Server

Alle erweitern | Alles ausblenden

Es wird empfohlen, für die Authentifizierung am PostgreSQL-Servers ein TLS-Zertifikat zu verwenden. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden. Verwenden Sie ein Zertifikat einer vertrauenswürdigen CA, da ein selbstsigniertes Zertifikat nur einen begrenzten Schutz bietet.

Der Administrationsserver unterstützt für PostgreSQL sowohl die unidirektionale als auch die bidirektionale SSL-Authentifizierung.

Gehen Sie folgendermaßen vor, um die SSL-Authentifizierung für PostgreSQL zu konfigurieren:

1. Generieren Sie ein Zertifikat für den PostgreSQL-Server.

   Führen Sie die folgenden Befehle aus:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Generieren Sie ein Zertifikat für den Administrationsserver.

   Führen Sie die folgenden Befehle aus. Der CN-Wert sollte mit dem Namen des Benutzers übereinstimmen, der sich im Namen des Administrationsservers mit PostgreSQL verbindet. Der Benutzername ist standardmäßig auf "postgres" eingestellt.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Konfigurieren Sie die Authentifizierung des Client-Zertifikats.

   Ändern Sie die Datei "pg_hba.conf" wie folgt:

   hostssl all all 0.0.0.0/0 md5

   Stellen Sie sicher, dass die Datei "pg_hba.conf" keinen Eintrag enthält, der mit host beginnt.

4. Geben Sie das PostgreSQL-Zertifikat an.

   Für die unidirektionale SSL-Authentifizierung

   Ändern Sie die Datei "postgresql.conf" wie folgt (geben Sie den korrekten Pfad zu den crt- und key-Dateien an):

   listen_addresses ='*'

   ssl = on

   ssl_cert_file = 'psql.crt'

   ssl_key_file = 'psql.key'

   Für die bidirektionale SSL-Authentifizierung

   Ändern Sie die Datei "postgresql.conf" wie folgt (geben Sie die korrekten Pfade zu den crt- und key-Dateien an):

   listen_addresses ='*'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Starten Sie den PostgreSQL-Daemon neu.

   Führen Sie den folgenden Befehl aus:

   systemctl restart postgresql-14.service

6. Geben Sie das Server-Flag für den Administrationsserver an.

   Für die unidirektionale SSL-Authentifizierung

   Navigieren Sie zum Verzeichnis "ServerFlags" und erstellen Sie eine Datei, die dem Server-Flag "KLSRV_POSTGRES_OPT_SSL_CA" entspricht:

   cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

   mkfile KLSRV_POSTGRES_OPT_SSL_CA

   Geben Sie in der erstellten Datei den Pfad zur Datei "psql.crt" an.

   Für die bidirektionale SSL-Authentifizierung

   Navigieren Sie zum Verzeichnis "ServerFlags" und erstellen Sie Dateien, die den folgenden Server-Flags entsprechen:

   cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

   mkfile KLSRV_POSTGRES_OPT_SSL_CA

   mkfile KLSRV_POSTGRES_OPT_SSL_CERT

   mkfile KLSRV_POSTGRES_OPT_SSL_KEY

   Bearbeiten Sie die erstellten Dateien wie folgt:

   • KLSRV_POSTGRES_OPT_SSL_KEY: Geben Sie den Pfad zur Datei "postgres.key" an.
   • KLSRV_POSTGRES_OPT_SSL_CERT: Geben Sie den Pfad zur Datei "postgres.crt" an.
   • KLSRV_POSTGRES_OPT_SSL_KEY: Geben Sie den Pfad zur Datei "postgres.key" an.

   Wenn postgres.key eine Passphrase erfordert, erstellen Sie die Datei "KLSRV_POSTGRES_OPT_TLS_PASPHRASE" im Ordner "ServerFlags" und geben Sie die Passphrase darin an.

7. Starten Sie den Dienst des Administrationsservers neu.