Scenariusz: uwierzytelnianie serwera PostgreSQL

Rozwiń wszystko | Zwiń wszystko

Zalecamy użycie certyfikatu TLS do uwierzytelnienia serwera PostgreSQL. Możesz użyć certyfikatu z zaufanego urzędu certyfikacji lub certyfikatu z podpisem własnym.

Serwer administracyjny obsługuje zarówno jednokierunkowe, jak i dwukierunkowe uwierzytelnianie SSL dla PostgreSQL.

Uwierzytelnianie serwera PostgreSQL odbywa się etapami:

1. Wygeneruj certyfikat dla serwera PostgreSQL

   Uruchom następujące polecenia:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Wygeneruj certyfikat dla Serwera administracyjnego

   Uruchom następujące polecenia. Wartość CN powinna odpowiadać nazwie użytkownika, który łączy się z PostgreSQL w imieniu Serwera administracyjnego. Domyślnie nazwa użytkownika jest ustawiona na postgres.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Skonfiguruj uwierzytelnianie certyfikatu klienta

   Zmodyfikuj plik pg_hba.conf w następujący sposób:

   hostssl mydb myuser 192.168.1.0/16 scram-sha-256

   Upewnij się, że plik pg_hba.conf nie zawiera rekordu rozpoczynającego się od host.

4. Określ certyfikat PostgreSQL

   Jednokierunkowe uwierzytelnianie SSL

   Zmodyfikuj plik postgresql.conf w następujący sposób (podaj poprawną ścieżkę do plików .crt i .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Dwukierunkowe uwierzytelnianie SSL

   Zmodyfikuj plik postgresql.conf w następujący sposób (podaj poprawną ścieżkę do plików .crt i .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Uruchom ponownie demona PostgreSQL

   Uruchom następujące polecenie:

   systemctl restart postgresql-14.service

6. Określ flagę serwera dla Serwera administracyjnego

   Jednokierunkowe uwierzytelnianie SSL

   Użyj narzędzia klscflag, aby utworzyć flagę serwera KLSRV_POSTGRES_OPT_SSL_CA i jako jej wartość określ ścieżkę do certyfikatu.

   Uruchom wiersz poleceń, a następnie zmień bieżący katalog na katalog z narzędziem klscflag. Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.

   Uruchom następujące polecenie:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   Dwukierunkowe uwierzytelnianie SSL

   Użyj narzędzia klscflag, aby utworzyć flagi serwera i jako ich wartości określ ścieżkę do plików certyfikatów.

   Uruchom wiersz poleceń, a następnie zmień bieżący katalog na katalog z narzędziem klscflag. Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.

   Uruchom następujące polecenia:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <path to postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <path to postgres.key> -t s

   Jeśli plik postgres.key wymaga hasła, utwórz flagę KLSRV_POSTGRES_OPT_TLS_PASPHRASE i podaj hasło jako jego wartość:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s

7. Uruchom ponownie usługę Serwera administracyjnego

Przejdź do góry