Сценарий: PostgreSQL Server серверінің аутентификациясы

Барлығын жаю | Барлығын жию

PostgreSQL серверінің аутентификациясы үшін TLS сертификатын пайдалану ұсынылады. Сенімді сертификаттау орталығының (СА) сертификатын немесе өздігінен қол қойылған сертификатты қолдана аласыз.

Басқару сервер PostgreSQL үшін бір жақты және екі жақты SSL аутентификациясына қолдау көрсетеді.

PostgreSQL серверінің аутентификациясы кезең-кезеңімен жүзеге асырылады:

1. PostgreSQL сервері үшін сертификат жасау

   Келесі пәрмендерді орындаңыз:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Басқару сервері үшін сертификат жасау

   Келесі пәрмендерді орындаңыз. CN мәні Басқару сервер атынан PostgreSQL-ге қосылатын пайдаланушының атына сәйкес болуы керек. Әдепкі пайдаланушы аты - postgres.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Клиент сертификатының аутентификациясын конфигурациялау

   pg_hba.conf келесідей өзгертіңіз:

   hostssl mydb myuser 192.168.1.0/16 scram-sha-256

   pg_hba.conf ішінде host деп басталатын жазба жоқ екеніне көз жеткізіңіз.

4. PostgreSQL сертификатын көрсету

   Бір жақты SSL аутентификациясы

   postgresql.conf файлын келесідей өзгертіңіз (.crt және .key файлдарына дұрыс жолды көрсетіңіз):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Екі жақты SSL аутентификациясы

   postgresql.conf файлын келесідей өзгертіңіз (.crt және .key файлдарына дұрыс жолды көрсетіңіз):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. PostgreSQL демонын қайта іске қосу

   Келесі пәрменді орындаңыз:

   systemctl restart postgresql-14.service

6. Басқару сервері үшін сервер жалаушасын көрсету

   Бір жақты SSL аутентификациясы

   Klscflag утилитасын пайдаланып, KLSRV_POSTGRES_OPT_SSL_CA сервері жалаушасын жасаңыз және оның мәндері ретінде сертификатқа жолды көрсетіңіз:

   Пәрмен жолын іске қосыңыз және ағымдағы каталогты klscflag утилитасы бар каталогке өзгертіңіз. Klscflag утилитасы Басқару сервер орнатылған каталогте орналасқан. Әдепкі бойынша жол - /opt/kaspersky/ksc64/sbin.

   Келесі пәрменді орындаңыз:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <жолы: psql.crt> -t s

   Екі жақты SSL аутентификациясы

   Klscflag утилитасын пайдаланып, сервер жалаушаларын жасаңыз және олардың мәндері ретінде сертификат файлдарына жолды көрсетіңіз.

   Пәрмен жолын іске қосыңыз және ағымдағы каталогты klscflag утилитасы бар каталогке өзгертіңіз. Klscflag утилитасы Басқару сервер орнатылған каталогте орналасқан. Әдепкі бойынша жол - /opt/kaspersky/ksc64/sbin.

   Келесі пәрмендерді орындаңыз:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <path to postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <path to postgres.key> -t s

   Егер postgres.key кодты сөйлемді қажет етсе, KLSRV_POSTGRES_OPT_TLS_PASPHRASE жалаушасын жасаңыз және кодты сөйлемді оның мәні ретінде көрсетіңіз:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s

7. Басқару сервері қызметін қайта іске қосу

Басына оралу