IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 大数据 -> 连接数据库失败提示hba.conf不符合的处理方法 -> 正文阅读

[大数据]连接数据库失败提示hba.conf不符合的处理方法

瀚高数据库
目录
环境
文档用途
详细信息

环境
系统平台:N/A
版本:6.0,5.6.5,5.6.4,5.6.3,5.6.1,4.5.2,4.5,4.3.4.9,4.3.4.8,4.3.4.7,4.3.4.6,4.3.4.5,4.3.4.4,4.3.4.3,4.3.4.2,4.3.4,4.7.8,4.7.7,4.7.6,4.7.5,4.3.2,4.1.1
文档用途
本文主要介绍如何对 hba.conf 进行合理的配置,以防止因hba.conf文件配置不合理从而连接不上数据库。

详细信息

1. 客户端认证文件介绍

客户端认证是由一个配置文件(通常名为 pg_hba.conf 并被存放在数据库集簇目录中,HBA 表示基于主机的认证)控制。在 initdb 初始化数据目录时,会在 $PGDATA 下生成 pg_hba.conf 文件。我们也可以把认证配置文件放在其它地方。

pg_hba.conf 文件的常用格式是一组记录,每行一条。空白行将被忽略, “#” 注释字符后面的任何文本也被忽略。记录不能跨行。一条记录由若干用空格 或制表符分隔的域组成。如果域值用双引号包围,那么它可以包含空。在数据库、用户或地址域中引用一个关键字(例如 all 或 replication)将使该词失去其特殊含义,将会只匹配一个有该名字的数据库、用户或主机。每条记录指定一种连接类型、一个客户端 IP 地址范围(如果和连接类型相关)、一个数据库名、一个用户名以及对匹配这些参数的连接所使用的认证方法。第一条匹配连接类型、客户端地址、连接请求的数据库和用户名的记录将被用于执行认证。这个过程没有“落空”或者“后备”的说法:如果选择了一条记录而且认证失败,那么将不再考虑后面的记录。如果没有匹配的记录,那么访问将被拒绝。

无论客户端以何种方式来登录数据库,都要有一个客户端可以访问的数据库用户或叫角色存在。如果是本地认证,则服务器会验证发起请求的客户端的系统用户名,系统用户名可能与数据库角色相同,也可能不同。

注意事项:

  1. “#” 号注释会忽略后面的文本。

  2. pg_hba.conf中的连接配置记录不能跨行。

  3. 一个客户端请求只会匹配pg_hba.conf中与连接类型,数据库,数据库用户和地址等信息匹配的第一行,无论登录成功或者失败都不会再去匹配其他行。

  4. pg_hba.conf读取顺序是从上往下,来读取第一个符合条件的记录。

2. pg_hba.conf配置说明

2.1 pg_hba.conf 配置格式

pg_hba.conf文件路径

1)允许本地系统上的任何用户通过 Unix 域套接字以任意数据库用户名连接到任意数据库(本地连接的默认值)。

[root@hgv4 data]# ls -l $PGDATA/pg_hba.conf

-rw------- 1 root root 4298 1021 11:39 /opt/HighGo4.5.2-see/data/pg_hba.conf

2)任意数据库用户名连接到任意数据库,使用本地环回 TCP/IP 连接。

pg_hba.conf文件 7 种配置

#request_mode  db_name   db_role  address  mask   method    options 

local       database   user                auth-method  [auth-options]

host        database   user  address         auth-method  [auth-options]

hostssl      database   user  address         auth-method  [auth-options]

hostnossl     database   user  address         auth-method  [auth-options]

host        database   user  IP-address  IP-mask  auth-method [auth-options]

hostssl      database   user  IP-address  IP-mask  auth-method [auth-options]

hostnossl     database   user IP-address  IP-mask  auth-method  [auth-options]

2.2 pg_hba.conf各列释义:

第一列(request_mode)

local:匹配使用 Unix 域套接字(unix domain socket)的连接。 如果没有这种类型的记录,则不允许 Unix 域套接字连接。

host:匹配使用 TCP/IP 建立的连接。 host记录匹配SSL和非SSL的连接尝试, 此外还有GSSAPI 加密的或non-GSSAPI 加密的连接尝试。

hostssl:匹配使用 TCP/IP 建立的连接,但必须是使用SSL加密的连接。要使用这个选项,编译服务器的时候必须打开SSL支持。此外,在服务器启动的时候通过将postgresql.conf中的ssl 设置为on,打开的SSL支持。否则,hostssl记录会被忽略,并且会记录一个警告说它无法匹配任何连接。

hostnossl:这条记录的行为与hostssl相反;它只匹配那些在 TCP/IP上不使用SSL的连接。

host/hostssl/hostnossl总结: 认证方法通过TCP/IP连接,带有ssl后缀的认证方式使用SSL连接,带有nossl后缀的认证方式不使用SSL连接。

第二列(db_name)

database:指定要访问的数据库sameuser表示如果请求的数据库名与角色名相同则匹配。replication表示允许replication连接请求,此时不指定任何特定的数据库。可以用逗号分隔来指定多个数据库,值 all 匹配所有的数据库。

第三列(db_role)

user:指定访问数据库使用的数据库角色名,值 all 匹配所有存在的数据库角色。

第四列(address)

IP-address:声明这条记录匹配的客户端机器的地址。可以是主机名或者ip地址。ip地址可以以常用的两种方式指定。0.0.0.0/0代表全部IPv4地址,::/0代表全部IPv6地址。

第五列(mask)

IP-mask:这两个域可以被用作IP-address / mask-length记号法的替代方案。和指定掩码长度不同,实际的掩码被指定在一个单独的列中。例如,255.0.0.0表示 IPv4 CIDR 掩码长度 8,而255.255.255.255表示 CIDR 掩码长度 32。这些域只适用于host、hostssl和hostnossl记录。

第六列(method:auth-method)

trust:无条件的允许连接。这个方法允许任何人用任意一个用户登录到数据库。

md5:要求客户端提供一个MD5加密的口令进行认证。

password:要求客户提供一个未加密的密码进行身份验证,不安全。

ident:使用ident服务器认证用户。

ldap:用LDAP服务器进行认证

sm3:执行 sm3 认证来验证用户的口令。sm3 算法是国家密码算法的一种散列算法,在用户认证过程中,和 md5 的过程一致,但是算法的安全度比 md5 安全的多,并且 sm3 算法自主可控,当然,sm3 也是以散列值的形式存在于数据库的用户表

pam:使用PAM认证。

reject:无条件地拒绝连接。这有助于从一个组中“过滤出”特定主机,例如一个reject行可以阻塞一个特定的主机连接,而后面一行允许一个特定网络中的其余主机进行连接。

第七列(options)

auth-options :以name=value的形式为这些认证方法指定一些选项。比较常用的是指定用户名映射,格式为map=map-name,map-name指定pg_ident.conf文件中的一条命名用户名映射记录。此列一般极少配置。

2.3 pg_hba.conf 配置示例

说明:pg_hba.conf配置格式,我们可以简化为以下两种方式:

远程客户端访问记录的格式:

host   database   role   address   auth-method

本地UNIX-域套接字记录的格式:

local   database   role   auth-method

1)允许本地系统上的任何用户通过 Unix 域套接字以任意数据库用户名连接到任意数据库(本地连接的默认值)。

# TYPE  DATABASE   USER       ADDRESS       METHOD

local   all      all                    trust

2)任意数据库用户名连接到任意数据库,使用本地环回 TCP/IP 连接。

# TYPE  DATABASE   USER       ADDRESS        METHOD

host    all      all      127.0.0.1/32       trust

3)任意数据库用户名连接到任意数据库,使用独立的掩码列

# TYPE  DATABASE    USER  IP-ADDRESS   IP-MASK        METHOD

host    all      all    127.0.0.1  255.255.255.255    trust

4) 任意数据库用户名连接到任意数据库,IPv6 上相同的规则

# TYPE  DATABASE    USER    ADDRESS                METHOD

host    all       all    ::1/128                trust

5)任意数据库用户名连接到任意数据库,使用主机名的相同规则(通常同时覆盖 IPv4 和 IPv6)。

# TYPE  DATABASE    USER    ADDRESS                METHOD

host    all       all    localhost               trust

6)允许来自任意具有 IP 地址192.168.93.x 的主机上任意用户以 ident 为该连接所报告的相同用户名连接到数据库 “highgo”。

# TYPE  DATABASE    USER    ADDRESS                METHOD

host    highgo     all    192.168.93.0/24           ident

7)如果用户的口令被正确提供,允许来自主机 192.168.12.10 的任意用户连接到数据库 “highgo”

# TYPE  DATABASE   USER     ADDRESS               METHOD

host    highgo     all    192.168.12.10/32           md5

8)如果没有前面的 “host” 行,这两行表示将拒绝所有来自 192.168.54.1的连接(因为那些项将首先被匹配),允许来自网络中其他任何地方的 md5 口令方式的认证连接,零掩码匹配任意主机。

# TYPE  DATABASE   USER      ADDRESS               METHOD

host    all      all      192.168.54.1/32           reject

host    all      all       0.0.0.0/0              md5

9)无条件的允许来自网络中其他任何地方的 md5 口令方式的认证连接。

# TYPE  DATABASE   USER      ADDRESS                METHOD

host    all      all       0.0.0.0/0              md5

2.4 配置注意事项:

1)数据库名与用户名注意大小写。

2)address(用户的IP范围)的值的格式是:IP/数值

数值取值范围为:0,8,16,24,32 即表示掩码bit的个数。例:

32  ->  192.168.1.1/32 表示必须是来自这个IP地址的访问才合法。

24  ->  192.168.1.0/24 表示只要来自192.168.1.0 ~ 192.168.1.255的都合法。

16  ->  192.168.0.0/16 表示只要来自192.168.0.0 ~ 192.168.255.255的都合法。

8  ->  192.0.0.0/16 表示只要来自192.0.0.0 ~ 192.255.255.255的都合法。

0  ->  0.0.0.0/0  表示全部IP地址都合法,/左边的IP地址随便了只要是合法的IP地址即可。

3)完成上面两个配置文件的修改以后,为了让配置生效,需要重新启动或 reload 数据库服务。

4)要考虑下是否要支持ssl 协议,在需要的时候添加添加ssl 选项。

3. 常见问题处理方法

3.1 无法连接到服务器:不支持 13 认证方式

psql -U syssso -d highgo -p 5866 -h 192.168.0.131

psql: 错误: 无法连接到服务器:不支持 13 认证方式.

处理方法:

1)如果数据库默认使用 sm3 (highgodb安全版中的认证方式) 身份验证算法,需要改为 md5,步骤如下:

2)修改 postgresql.conf 文件 password_encryption 参数由 sm3 修改为 md5

3)重启数据库 pg_ctl restart

4)sysdba 登陆,修改密码为 1qaz!QAZ;syssao、syssso 及其他用户同理。

5)修改 pg_hba 文件加密方式改为 md5

6)重启数据库 pg_ctl restart

7)登录数据库,输入密码 1qaz!QAZ 进行验证。

说明:密码可根据自己的环境进行修改。

3.2 FATAL: no pg_hba.conf entry for host “123.123.123.123”, user “andym”, database “testdb”

处理方法:

表示已和服务器进行通信,但服务器拒绝了连接请求,没有在其 pg_hba.conf 配置文件里找到匹配项,需要在pg——hba.conf中添加匹配选项。

3.3 FATAL: password authentication failed for user “andym”

处理方法:

这样的消息表示已和服务器进行通信,但是必须通过pg_hba.conf文件中指定的认证方法。检查你提供的口令,认证类型。
3.4 FATAL: user “andym” does not exist

处理方法:

指示的数据库用户没有被找到,需检查数据库名称是否正确。
3.5 FATAL: database “testdb” does not exist

处理方法:

你试图连接的数据库不存在。请注意如果你没有声明数据库名。

  大数据 最新文章
实现Kafka至少消费一次
亚马逊云科技:还在苦于ETL?Zero ETL的时代
初探MapReduce
【SpringBoot框架篇】32.基于注解+redis实现
Elasticsearch:如何减少 Elasticsearch 集
Go redis操作
Redis面试题
专题五 Redis高并发场景
基于GBase8s和Calcite的多数据源查询
Redis——底层数据结构原理
上一篇文章      下一篇文章      查看所有文章
加:2022-05-11 16:30:44  更:2022-05-11 16:31:45 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/23 23:17:51-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码