postgres访问认证配置文件pg_hba.conf

pg_hba.conf（默认位于/var/lib/pgsql/10/data/pg_hba.conf）是设置访问认证的主要文件，格式为每条记录一行，每行指定一条访问认证。
设定一条访问认证包含了5个部分：连接方式（type）、数据库（database）、用户名（user）、IP地址、认证方法（authentication method）。

连接方式（type）
    共有三种：local、host、hostssl、hostnossl
    local使用本地unix套接字
    host使用TCP/IP连接（包括SSL和非SSL），“host”结合“IPv4地址”使用IPv4方式，结合“IPv6地址”则使用IPv6方式
    hostssl只能使用SSL TCP/IP连接
    hostnossl不能使用SSL TCP/IP连接

数据库（database）
    声明允许访问的数据库，多个数据库，库名间以逗号分隔。
    all表明该记录匹配所有数据库
    all只有在没有其他的符合条目时才代表“所有”，如果有其他的符合条目则代表“除了该条之外的”，因为“all”的优先级最低。

用户名（user）
    USER指定哪个数据库用户（PostgreSQL正规的叫法是角色，role）。
    多个用户以逗号分隔。
    组名字可以通过用+做组名字前缀来声明。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明，该文件必需和 pg_hba.conf 在同一个目录。

local    db1    user1    reject
local    all    all      ident
这两条都是指定local访问方式，因为前一条指定了特定的数据库db1，所以后一条的all代表的是除了db1之外的数据库，同理用户的all也是这个道理。


CIDR-ADDRESS
    格式为ip-address/mask
    采用local连接方式不必填写，该项可以是IPv4地址或IPv6地址，可以定义某台主机或某个网段。

认证方法（authentication method）
    METHOD指定如何处理客户端的认证。常用的有ident，md5，password，trust，reject。
    ident
        ident是Linux下PostgreSQL默认的local认证方式，凡是能正确登录服务器的OS用户（注：不是数据库用户）就能使用本用户映射的数据库用户不需密码登录数据库。
        用户映射文件为pg_ident.conf，这个文件记录着与OS用户匹配的数据库用户，如果某OS用户在本文件中没有映射用户，则默认的映射数据库用户与操作系统用户同名。
        比如，服务器上有名为user1的操作系统用户，同时数据库上也有同名的数据库用户，user1登录操作系统后可以直接输入psql，以user1数据库用户身份登录数据库且不需密码。
        很多初学者都会遇到psql -U username登录数据库却出现“username ident 认证失败”的错误，明明数据库用户已经createuser。
        原因就在于此，使用了ident认证方式，却没有同名的操作系统用户或没有相应的映射用户。解决方案：1、在pg_ident.conf中添加映射用户；2、改变认证方式。
    md5
        md5是常用的密码认证方式，如果你不使用ident，最好使用md5。密码是以md5形式传送给数据库，较安全，且不需建立同名的操作系统用户。
    password
        password是以明文密码传送给数据库，建议不要在生产环境中使用。
    trust
        trust是只要知道数据库用户名就不需要密码或ident就能登录，建议不要在生产环境中使用。
    reject
        reject是拒绝认证

转载于:https://www.cnblogs.com/lykops/p/8263104.html