pg_hba.conf文件释义

pg_hba.conf各列释义：

第一列（request_mode）

local：匹配使用 Unix 域套接字（unix domain socket）的连接。如果没有这种类型的记录，则不允许 Unix 域套接字连接。

host：匹配使用 TCP/IP 建立的连接。host记录匹配SSL和非SSL的连接尝试， 此外还有GSSAPI 加密的或non-GSSAPI 加密的连接尝试。

hostssl：匹配使用 TCP/IP 建立的连接，但必须是使用SSL加密的连接。要使用这个选项，编译服务器的时候必须打开SSL支持。此外，在服务器启动的时候通过将postgresql.conf中的ssl 设置为on，打开的SSL支持。否则，hostssl记录会被忽略，并且会记录一个警告说它无法匹配任何连接。

hostnossl：这条记录的行为与hostssl相反；它只匹配那些在 TCP/IP上不使用SSL的连接。

host/hostssl/hostnossl总结： 认证方法通过TCP/IP连接,带有ssl后缀的认证方式使用SSL连接，带有nossl后缀的认证方式不使用SSL连接。

第二列（db_name）

database：指定要访问的数据库sameuser表示如果请求的数据库名与角色名相同则匹配。replication表示允许replication连接请求,此时不指定任何特定的数据库。可以用逗号分隔来指定多个数据库，值 all 匹配所有的数据库。

第三列（db_role）

user：指定访问数据库使用的数据库角色名,值 all 匹配所有存在的数据库角色。

第四列（address）

IP-address：声明这条记录匹配的客户端机器的地址。可以是主机名或者ip地址。ip地址可以以常用的两种方式指定。0.0.0.0/0代表全部IPv4地址,::/0代表全部IPv6地址。

第五列（mask）

IP-mask：这两个域可以被用作IP-address mask-length记号法的替代方案。和指定掩码长度不同，实际的掩码被指定在一个单独的列中。例如，255.0.0.0表示 IPv4 CIDR 掩码长度 8，而255.255.255.255表示 CIDR 掩码长度 32。这些域只适用于host、hostssl和hostnossl记录。

第六列（method：auth-method）

trust：无条件的允许连接。这个方法允许任何人用任意一个用户登录到数据库。

md5：要求客户端提供一个MD5加密的口令进行认证。

password：要求客户提供一个未加密的密码进行身份验证，不安全。

ident：使用ident服务器认证用户。

ldap：用LDAP服务器进行认证

sm3：执行 sm3 认证来验证用户的口令。sm3 算法是国家密码算法的一种散列算法，在用户认证过程中，和 md5 的过程一致，但是算法的安全度比 md5 安全的多，并且 sm3 算法自主可控，当然，sm3 也是以散列值的形式存在于数据库的用户表

pam：使用PAM认证。

reject：无条件地拒绝连接。这有助于从一个组中“过滤出”特定主机，例如一个reject行可以阻塞一个特定的主机连接，而后面一行允许一个特定网络中的其余主机进行连接。

第七列（options）

auth-options ：以name=value的形式为这些认证方法指定一些选项。比较常用的是指定用户名映射,格式为map=map-name,map-name指定pg_ident.conf文件中的一条命名用户名映射记录。此列一般极少配置。