Scenariusz: uwierzytelnianie serwera PostgreSQL
Rozwiń wszystko | Zwiń wszystko
Zalecamy użycie certyfikatu TLS do uwierzytelnienia serwera PostgreSQL. Możesz użyć certyfikatu z zaufanego urzędu certyfikacji lub certyfikatu z podpisem własnym. Użyj certyfikatu z zaufanego urzędu certyfikacji, ponieważ certyfikat z podpisem własnym zapewnia tylko ograniczoną ochronę.
Serwer administracyjny obsługuje zarówno jednokierunkowe, jak i dwukierunkowe uwierzytelnianie SSL dla PostgreSQL.
Wykonaj poniższe kroki, aby skonfigurować uwierzytelnianie SSL dla PostgreSQL:
- Wygeneruj certyfikat dla serwera PostgreSQL.
Uruchom następujące polecenia:
openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"
chmod og-rwx psql.key
- Wygeneruj certyfikat dla Serwera administracyjnego.
Uruchom następujące polecenia. Wartość CN powinna odpowiadać nazwie użytkownika, który łączy się z PostgreSQL w imieniu Serwera administracyjnego. Domyślnie nazwa użytkownika jest ustawiona na postgres.
openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"
chmod og-rwx postgres.key
- Skonfiguruj uwierzytelnianie certyfikatu klienta.
Zmodyfikuj plik pg_hba.conf w następujący sposób:
hostssl all all 0.0.0.0/0 md5
Upewnij się, że plik pg_hba.conf nie zawiera rekordu rozpoczynającego się od
host
. - Określ certyfikat PostgreSQL.
- Uruchom ponownie demona PostgreSQL.
Uruchom następujące polecenie:
systemctl restart postgresql-14.service
- Określ flagę serwera dla Serwera administracyjnego.
- Uruchom ponownie usługę Serwera administracyjnego.