Escenario: autenticación del servidor PostgreSQL

Expandir todo | Contraer todo

Le recomendamos que utilice un certificado TLS para autenticar el servidor PostgreSQL. Puede usar un certificado de una autoridad de certificación (AC) de confianza o un certificado autofirmado.

El Servidor de administración admite autenticación SSL unidireccional y bidireccional para PostgreSQL.

Siga estos pasos para configurar la autenticación SSL para PostgreSQL:

1. Genere un certificado para el servidor PostgreSQL.

   Ejecute los siguientes comandos:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Genere un certificado para el Servidor de administración.

   Ejecute los siguientes comandos. El valor CN debe coincidir con el nombre del usuario que se conecta a PostgreSQL en nombre del Servidor de administración. El nombre de usuario está configurado en postgres de manera predeterminada.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Configure la autenticación del certificado del cliente.

   Modifique pg_hba.conf de la siguiente manera:

   hostssl mydb myuser 192.168.1.0/16 scram-sha-256

   Asegúrese de que pg_hba.conf no incluya un registro que comience con host.

4. Especifique el certificado PostgreSQL.

   Autenticación SSL unidireccional

   Modifique postgresql.conf de la siguiente manera (especifique la ruta correcta a los archivos .crt y .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Autenticación SSL bidireccional

   Modifique postgresql.conf de la siguiente manera (especifique la ruta correcta a los archivos .crt y .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Reinicie el demonio PostgreSQL.

   Ejecute el siguiente comando:

   systemctl restart postgresql-14.service

6. Especifique el indicador del servidor para el Servidor de administración.

   Autenticación SSL unidireccional

   Use la utilidad klscflag para crear el indicador del servidor KLSRV_POSTGRES_OPT_SSL_CA y especifique la ruta al certificado como su valor:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <ruta a psql.crt> -t d

   La utilidad klscflag se encuentra en el directorio donde está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.

   Autenticación SSL bidireccional

   Use la utilidad klscflag para crear indicadores del servidor y especifique la ruta a los archivos de certificados como sus valores:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <ruta a psql.crt> -t d

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <ruta a postgres.crt> -t d

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <ruta a postgres.key> -t d

   Si postgres.key requiere una frase de contraseña, cree un indicador KLSRV_POSTGRES_OPT_TLS_PASPHRASE y especifique la frase de contraseña como su valor:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <frase_de_contraseña> -t d

   La utilidad klscflag se encuentra en el directorio donde está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.

7. Reinicie el servicio del Servidor de administración.