postgresql ident验证机制的实现

最新推荐文章于 2023-10-24 16:11:50 发布
最新推荐文章于 2023-10-24 16:11:50 发布
阅读量909 收藏 2
点赞数
文章标签: 数据库 python 网络
原文链接:https://my.oschina.net/u/918218/blog/699367
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  postgresql 数据库中提供了ident验证机制。postgresql中的ident验证机制的实现方式是向客户端的113号端口发送消息来查询系统用户信息。通过系统用户信息来验证客户的安全性。

1. 113号端口

   113号端口是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。

2. ident验证机制的使用

    1)配置pg_ident.conf文件

    这个文件配置的是系统用户与数据库用户之间的一种映射关系。这个文件的配置方法如下所示:

上面的例子是来自postgres官方文档,其中omicron是map name,一个map name可以对应多个系统用户与数据库用户的映射。在编写好这个映射文件后就需要配置pg_hba.conf文件。

2)配置pg_hba.conf文件

上图中172.30.12.0的客户端的验证方式是ident,map name为omicron。

3. 实现的原理

ident验证方式的实现函数是ident_inet。

1)创建一个socket

sock_fd = socket(ident_serv->ai_family, ident_serv->ai_socktype,
					 ident_serv->ai_protocol);
	if (sock_fd == PGINVALID_SOCKET)
	{
		ereport(LOG,
				(errcode_for_socket_access(),
				 errmsg("could not create socket for Ident connection: %m")));
		ident_return = false;
		goto ident_inet_done;
	}

2)绑定sock_fd到本地地址上面

rc = bind(sock_fd, la->ai_addr, la->ai_addrlen);
if (rc != 0)
{
	ereport(LOG,
			(errcode_for_socket_access(),
			 errmsg("could not bind to local address \"%s\": %m",
					local_addr_s)));
	ident_return = false;
	goto ident_inet_done;
}

3. 建立到客户端的连接

rc = connect(sock_fd, ident_serv->ai_addr,ident_serv->ai_addrlen);
if (rc != 0)
{
	ereport(LOG,
			(errcode_for_socket_access(),
			 errmsg("could not connect to Ident server at address \"%s\", port %s: %m",
					remote_addr_s, ident_port)));
	ident_return = false;
	goto ident_inet_done;
}

4.发送查询到客户端

/* The query we send to the Ident server */
snprintf(ident_query, sizeof(ident_query), "%s,%s\r\n",
		 remote_port, local_port);

/* loop in case send is interrupted */
do
{
	rc = send(sock_fd, ident_query, strlen(ident_query), 0);
} while (rc < 0 && errno == EINTR);

5. 接收并解析数据

do
{
	rc = recv(sock_fd, ident_response, sizeof(ident_response) - 1, 0);
} while (rc < 0 && errno == EINTR);

if (rc < 0)
{
	ereport(LOG,
			(errcode_for_socket_access(),
			 errmsg("could not receive response from Ident server at address \"%s\", port %s: %m",
					remote_addr_s, ident_port)));
	ident_return = false;
	goto ident_inet_done;
}

ident_response[rc] = '\0';
ident_return = interpret_ident_response(ident_response, ident_user);
if (!ident_return)
	ereport(LOG,
		(errmsg("invalidly formatted response from Ident server: \"%s\"",
				ident_response)));

接收到的数据类似于2000:USERID::harris\r\n这样的格式。其中2000是端口号,harris是系统用户名。通过interpret_ident_response函数解析出系统用户名。

6. 通过user map判断用户是否合法

if (ident_return)
		/* Success! Check the usermap */
		return check_usermap(port->hba->usermap, port->user_name, ident_user, false);

则合法就认为验证通过,否则认为验证失败。通过上面的整个过程来看ident的实现还是比较简单的。

 

转载于:https://my.oschina.net/u/918218/blog/699367

weixin_33991727
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用ident认证方式连接postgres数据库
zhu4674548的专栏
08-11 2687
使用ident认证方式连接postgres数据库postgres支持多种用户认证方式什么是ident服务postgres支持ident认证的原理实验验证环境准备实验设计数据库端相关配置客户端连接认证 postgres支持多种用户认证方式 postgres是当前流行的开源关系型数据库,用户认证是数据库系统最外层的安全保护措施,pg在用户认证这部分即支持自身的口令认证(password,md5...
pg_ident文件浅析
HighGO
02-08 968
pg_hba.conf里面讲到ident认证方式,需要建立映射用户或具备同名用户。同名用户好办,各新建一个同名的操作系统用户和数据库用户,两个用户密码不必相同,但名字必须相同。用该用户登录到操作系统或su到该用户后,即可$ psql dbname。如果不想新建同名用户,也可以配置pg_ident.conf文件。pg_ident.conf用来配置哪些操作系统用户可以映射为数据库用户。本文以Postgr
PostgreSQL 认证方式
最新发布
loveLAxin的博客
10-24 977
客户端的身份验证是由配置文件控制的,配置文件为pg_hba.conf,存放位置在数据目录下(show data_directory;在initdb初始化数据目录时,会生成一个默认的pg_hba.conf文件。也可以将该配置文件存放在其他地方。pg_hba.conf文件的常用格式是一组记录,每行一条。空白行和#注释字符后面的文本都将被忽略。每条记录指定连接类型、客户端IP地址范围、数据库名称、用户名以及匹配这些参数连接使用的认证方法。如果没有匹配的记录,访问将被拒绝。
数据库PostrageSQL-Ident 认证
逍遥云恋
11-20 514
20.8. Ident 认证 ident 认证方法通过从一个 ident 服务器获得客户端的操作系统用户名并且用它作为被允许的数据库用户名(和可选的用户名映射)来工作。它只在 TCP/IP 连接上支持。 当为一个本地(非 TCP/IP)连接指定 ident 时,将实际使用 peer 认证(见Section 20.9)。 下列被支持的配置选项用于ident: map 允许系统和数据库用户名之间的映射。详见Section 20.2。“Identification Protocol(标识协议)”在 RFC 1
[转帖]PostgreSQL ident和peer基于操作系统用户的认证
weixin_30915275的博客
05-14 320
PostgreSQL ident和peer基于操作系统用户的认证 https://yq.aliyun.com/articles/55898 其实 local和127.0.0.1 还是有区别的 这里面应该就是对应了 local -> peer 127.0.0.1 -> ident 不同的登录方式 时用不同的认证方式. 摘要:P...
PostgreSQL ident和peer基于操作系统用户的认证
weixin_34342578的博客
06-22 1162
PostgreSQL支持的认证方法非常多,除了自身的密码认证以外,还支持很多其他认证服务。 trust md5 password GSSAPI SSPI Ident Peer LDAP RADIUS PAM Certificate BSD 详见 https://www.postgresql.org/docs/9.6/static/auth-met...
PostgreSQL 行可见性验证
03-02
PostgreSQL 行可见性验证 PostgreSQL 行可见性验证 PostgreSQL 行可见性验证
浅析PostgreSQL事务处理机制
07-05
- **多版本并发控制(MVCC)**:MVCC是PostgreSQL用来实现事务隔离的一种核心机制,它允许并发的读取操作而不加锁,从而提高了系统的并发性能。在MVCC机制下,每次事务更新数据时都会保留一份旧版本的数据,这样其他...
PostgreSQL数据库事务实现方法分析
09-09
PostgreSQL数据库是一个强大的开源对象关系型数据库系统,其在事务管理方面有着严谨的实现。事务是数据库操作的核心,确保数据的一致性和完整性。本篇文章将深入探讨PostgreSQL中事务的实现方法及其相关概念。 首先...
PostgreSQL 行可见性验证实践手册
05-29
- **REPEATABLE READ**:在这个级别,事务在整个事务期间看到的数据保持一致,不会出现非重复读,但在 PostgreSQL 9.1 之前,由于没有实现串行化,可能存在幻读。 - **SERIALIZABLE**:最高级别的隔离,避免了脏读...
PostgreSQL系列- 5 - 配置文件详解
IfNotExists的博客
10-07 5979
对postgres配置文件进行记录。
pgsql ident鉴权方式实现无密码登录,无需.pgpass
weixin_33841722的博客
05-24 216
为什么80%的码农都做不了架构师?>>> ...
psql: 致命错误: 用户 "postgres" Ident 认证失败
热门推荐
不忘初心,方得始终
08-15 2万+
修改认证文件/var/lib/pgsql/data/pg_hba.conf,登陆使用密码。 #vi /var/lib/pgsql/data/pg_hba.conf 把这个配置文件中的认证 METHOD的ident修改为trust,可以实现用账户和密码来访问数据库, 即解决psql: 致命错误: 用户 "postgres" Ident 认证失败 这个问题) 第五步:重启p
[原创]PostgreSQL本地登录trust、ident认证权限控制
weixin_30426879的博客
05-07 257
前几天偶然发现任意OS用户无需密码就可以获取PG数据库管理员权限。感觉这个也太BUG了,如果DBA配置不当,岂不是很容易就数据泄露了。。。 通过合理配置pg_hba.conf,pg_ident.conf禁止非数据库OS用户登录以trust方式登录,对于某些需要支持本地认证的同学可能有用。 前置条件: 1.我的PG数据库是由Linux用户 ithomer创建的私有...
postgresqlident认证与OS环境变量PGUSER的关系
msdnchina的专栏@JiNan,ShanDong
12-11 723
[highgo475@abc global]$ env | grep PG PGPORT=5899 PGUSER=highgo PGHOME=/home/highgo475/highgo/database/4.7.5 PGDATA=/home/highgo475/highgo/database/4.7.5/data [highgo475@abc global]$ cd [highgo475@ab...
PostgreSQL启动过程中的那些事十五.一:pg_hba.conf的用法
数据库天地
09-02 532
前几天配pgcluster,改错了pg_hba.conf文件,查了好一阵子。这个文件网上也有写的,现在把下面两篇博文合起来放在这儿备查。 http://swingfly.iteye.com/blog/508465 http://francs3.blog.163.com/blog/static/4057672720113243113534/ 还有篇文章写的不错,也加在最后,原文地址...
Postgresql数据库介绍15——客户端认证
qq_37061368的博客
01-27 872
客户端认证 当一个客户端应用连接数据库服务器的时候,它需要指定将以哪个PostgreSQL数据库的用户名进行连接,就像我们用指定的用户去登陆一台Unix。在SQL环境中,活跃的数库用户名确定了数据库对象的访问权限--请参阅第二十章获取更多的信息。因此,我们只需要限制用户可以连接的数据库。 注意:正如在第二十章所述,PostgreSQL其实是用角色进行权限管理,在这一章节,我们用从数据库用户的角度来讲“角色的登录权限”。 认证是数据库服务器建立客户端的标识,然后通过某种方法确定是否允许客户
centos7.2 postgresql 9.2 用户名登录 ‘psql: 致命错误: 用户 "postgres" Ident 认证失败’
霹雳xiao虾
08-22 4737
psql: 致命错误: 用户 “postgres” Ident 认证失败 修改认证文件 /var/lib/pgsql/9.2/data/pg_hba.conf vi /var/lib/pgsql/9.2/data/pg_hba.conf把配置文件中的认证 METHOD的ident修改为trust 安装postgresql 9.2
PostgreSQL事务处理机制详解
接着,我们来看看如何在PostgreSQL实现事务。通过`BEGIN`命令开始一个事务,然后执行一系列SQL语句,最后用`COMMIT`提交事务,或者在遇到错误时使用`ROLLBACK`回滚事务。这确保了即使在部分操作失败的情况下,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值