Szenario: Authentifizierung am PostgreSQL-Server
Alle erweitern | Alles ausblenden
Es wird empfohlen, für die Authentifizierung am PostgreSQL-Servers ein TLS-Zertifikat zu verwenden. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden.
Der Administrationsserver unterstützt für PostgreSQL sowohl die unidirektionale als auch die bidirektionale SSL-Authentifizierung.
Gehen Sie folgendermaßen vor, um die SSL-Authentifizierung für PostgreSQL zu konfigurieren:
- Generieren Sie ein Zertifikat für den PostgreSQL-Server.
Führen Sie die folgenden Befehle aus:
openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"
chmod og-rwx psql.key
- Generieren Sie ein Zertifikat für den Administrationsserver.
Führen Sie die folgenden Befehle aus. Der CN-Wert sollte mit dem Namen des Benutzers übereinstimmen, der sich im Namen des Administrationsservers mit PostgreSQL verbindet. Der Benutzername ist standardmäßig auf "postgres" eingestellt.
openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"
chmod og-rwx postgres.key
- Konfigurieren Sie die Authentifizierung des Client-Zertifikats.
Ändern Sie die Datei "pg_hba.conf" wie folgt:
hostssl mydb myuser 192.168.1.0/16 scram-sha-256
Stellen Sie sicher, dass die Datei "pg_hba.conf" keinen Eintrag enthält, der mit
host
beginnt. - Geben Sie das PostgreSQL-Zertifikat an.
- Starten Sie den PostgreSQL-Daemon neu.
Führen Sie den folgenden Befehl aus:
systemctl restart postgresql-14.service
- Geben Sie das Server-Flag für den Administrationsserver an.
- Starten Sie den Dienst des Administrationsservers neu.