Escenario: autenticación del servidor PostgreSQL

Expandir todo | Contraer todo

Le recomendamos que utilice un certificado TLS para autenticar el servidor PostgreSQL. Puede usar un certificado de una autoridad de certificación (AC) de confianza o un certificado autofirmado.

El Servidor de administración es compatible con la autenticación SSL unidireccional y bidireccional de PostgreSQL.

Siga estos pasos para configurar la autenticación SSL de PostgreSQL:

1. Genere un certificado para el servidor PostgreSQL.

   Ejecute los siguientes comandos:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Genere un certificado para el Servidor de administración.

   Ejecute los siguientes comandos. El valor CN debe coincidir con el nombre del usuario que se conecta a PostgreSQL en nombre del Servidor de administración. De manera predeterminada, el nombre de usuario configurado es postgres.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Configure la autenticación del certificado cliente.

   Modifique pg_hba.conf de la siguiente manera:

   hostssl mydb myuser 192.168.1.0/16 scram-sha-256

   Asegúrese de que pg_hba.conf no incluya un registro que comience con host.

4. Especifique el certificado del servidor PostgreSQL.

   Autenticación SSL unidireccional

   Modifique postgresql.conf de la siguiente manera (especifique la ruta correcta a los archivos .crt y .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Autenticación SSL bidireccional

   Modifique postgresql.conf de la siguiente manera (especifique la ruta correcta a los archivos .crt y .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Reinicie el demonio PostgreSQL.

   Ejecute el siguiente comando:

   systemctl restart postgresql-14.service

6. Especifique el indicador de servidor para el Servidor de administración.

   Autenticación SSL unidireccional

   Con la utilidad klscflag, cree el indicador del servidor KLSRV_POSTGRES_OPT_SSL_CA y especifique la ruta al certificado como su valor.

   Ejecute el símbolo del sistema y luego cambie el directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en el directorio donde está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.

   Ejecute el siguiente comando:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <ruta a psql.crt> -t s

   Autenticación SSL bidireccional

   Con la utilidad klscflag, cree los indicadores del servidor y especifique la ruta a los archivos de certificado como sus valores.

   Ejecute el símbolo del sistema y luego cambie el directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en el directorio donde está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.

   Ejecute los siguientes comandos:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <ruta a psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <ruta a postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <ruta a postgres.key> -t s

   Si postgres.key requiere una contraseña, cree un indicador KLSRV_POSTGRES_OPT_TLS_PASPHRASE y especifique la contraseña como su valor:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <frase de contraseña> -t s

7. Reinicie el servicio del Servidor de administración.