1
初始用户本地免密登录
gsql
gsql ((MogDB 3.1.1.100 build 501a8955) compiled at 2023-07-03 19:59:26 commit 0 last mr 1796 )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Last login: 2023-08-16 15:08:17.350982+08 from gs_clean@::1
Type "help" for help.
MogDB=#
2
本地非初始用户免密登录
初始用户是 ommxxx
其他操作系统用户数testxxx,为了安全,此用户和初始用户在同一操作系统用户组下
unix_socket目录为 data/xxx/tmp
监听端口为 44000
2.1 配置unix_socket目录及文件权限
#postgresql.conf
...
unix_socket_directory=/data/xxx/tmp
unix_socket_permision=0770
...
chmod 0770 /data/xxx/tmp
2.2 配置pg_hba.conf
去掉local … trust;
增加local … peer map=mymap,当然,这里的mymap是可变的,和下一个修改对应即可:
#pg_hba.conf
...
#local all all trust
local all all peer map=mymap
...
2.3 配置pg_ident.conf
# pg_ident.conf
# MAPNAME SYSTEM-USERNAME PG-USERNAME
mymap ommxxx ommxxx
mymap testxxx ommxxx
2.4 重启数据库
gs_ctl restart
2.5 其他操作系统用户即可免密登录
[testxxx@node156 ~]$ gsql -r -h /data/xxx/tmp -p 44000 -Uommxxx -d postgres
gsql ((MogDB 3.1.1.100 build 501a8955) compiled at 2023-07-03 19:59:26 commit 0 last mr 1796 )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Last login: 2023-08-16 15:28:07.131802+08 from gs_clean@::1
Type "help" for help.
3
SSL免密登录
需免密登录用户为 testssl
客户端ip为 172.16.3.250
服务器ip为 172.16.3.156
数据监听端口为 61234
3.1 生成SSL认证文件
cp $GAUSSHOME/share/sslcert/gsql/openssl.cnf .
生成SSL CA
openssl req -new -x509 -days 9999 -nodes -config openssl.cnf \
-out CA.crt -keyout CA.key -subj "/CN=CA"
生成服务器key
openssl req -new -nodes -text -config openssl.cnf \
-out server.csr -keyout server.key -subj "/CN=server"
openssl x509 -req -text -days 9999 -CA CA.crt -CAkey CA.key -CAcreateserial \
-in server.csr -out server.crt
生成客户端key
openssl req -new -nodes -text -config openssl.cnf \
-out testssl.csr -keyout testssl.key -subj "/CN=testssl"
openssl x509 -req -text -days 9999 -CA CA.crt -CAkey CA.key -CAcreateserial \
-in testssl.csr -out testssl.crt
3.2 数据库创建对应用户
gsql -r -c "create user testssl password 'test@123';"
3.3 修改数据库参数
# postgresql.conf
ssl=on
ssl_cert_file= 'server.crt'
ssl_key_file= 'server.key'
ssl_ca_file='CA.crt'
# pg_hba.conf
...
hostssl all all 172.16.3.250/32 cert
gs_ctl restart
3.4 客户端可通过SSL认证文件免密登录
方式1:在gsql命令行加入几个SSL文件的对应关系
gsql "sslrootcert=/tmp/CA.key sslcert=/tmp/testssl.crt sslkey=/tmp/testssl.key" \
-h 172.16.3.156 -p 61234 -U testssl
方式2:设置SSL变量后登录
export PGSSLROOTCERT=/tmp/CA.crt
export PGSSLCERT=/tmp/testssl.crt
export PGSSLKEY=/tmp/testssl.key
gsql -h172.16.3.156 -p61234 -Utestssl
gsql ((MogDB 3.0.3 build 23ba838d) compiled at 2022-10-22 09:50:39 commit 0 last mr )
SSL connection (cipher: ECDHE-RSA-AES128-GCM-SHA256, bits: 128)
Type "help" for help.
4
以PG客户端psql进行免密登录
关于作者
数据驱动,成就未来,云和恩墨,不负所托!
云和恩墨创立于2011年,是业界领先的“智能的数据技术提供商”。公司总部位于北京,在国内外35个地区设有本地办公室并开展业务。
云和恩墨以“数据驱动,成就未来”为使命,致力于将创新的数据技术产品和解决方案带给全球的企业和组织,帮助客户构建安全、高效、敏捷且经济的数据环境,持续增强客户在数据洞察和决策上的竞争优势,实现数据驱动的业务创新和升级发展。
自成立以来,云和恩墨专注于数据技术领域,根据不断变化的市场需求,创新研发了系列软件产品,涵盖数据库、数据库存储、数据库云管和数据智能分析等领域。这些产品已经在集团型、大中型、高成长型客户以及行业云场景中得到广泛应用,证明了我们的技术和商业竞争力,展现了公司在数据技术端到端解决方案方面的优势。
在云化、数字化和智能化的时代背景下,云和恩墨始终以正和多赢为目标,感恩每一位客户和合作伙伴的信任与支持,“利他先行”,坚持投入于数据技术核心能力,为构建数据驱动的智能未来而不懈努力。
我们期待与您携手,共同探索数据力量,迎接智能未来。