PostgreSQL pg_hba.conf 配置及相关参数说明
1)pg_hba.conf 的行记录与规则的先后顺序有关,每一次连接尝试都会顺序地检查 pg_hba.conf 记录,所以这些记录的顺序非常关键。
通常,靠前的记录有比较严的连接匹配参数和比较弱的认证方法,而靠后的记录有比较松的匹配参数和比较强的认证方法。
例如:我们希望对本地 TCP/IP 连接使用 trust 认证,而对远程 TCP/IP 连接要求口令,这种情况下为来自于 127.0.0.1 的连接指定 trust 认证的记录将出现在为一个更宽范围的客户端 IP 地址指定口令认证的记录前面。
典型配置一:
# TYPE DATABASE USER ADDRESS METHOD
local all all trust
host all all 127.0.0.1/32 trust
host all all ::1/128 trust
host all all 0.0.0.0/0 md5
host all all ::0/0 md5
# Allow replication connections from localhost, by a user with the replication privilege.
典型配置二(流复制场景):
# TYPE DATABASE USER ADDRESS METHOD
local all all trust
host all all 127.0.0.1/32 trust
host all all ::1/128 trust
host all all 0.0.0.0/0 md5
host all all ::0/0 md5
# Allow replication connections from localhost, by a user with the replication privilege.
local replication replica trust
host replication replica 127.0.0.1/32 trust
host replication replica ::1/128 trust
host replication all 192.168.1.0/24 md5
2)配置说明
Type:
TYPE 表示主机类型,值可能为:
local :使用unix-domain的socket连接
host :使用TCP/IP socket连接,允许客户端以SSL连接、也允许客户以非SSL连接
hostssl :使用SSL加密的TCP/IP socket连接,仅允许客户端以SSL连接
hostnossl :使用非SSL的TCP/IP socket连接, 仅允许客户端以非SSL连接
DATABASE:
DATABASE 表示数据库名,值可能为:
all :表示所有数据库、但不包括 replication(即配置"all"并不会匹配"replication")
sameuser :表示请求建立连接的用户名与数据库名同名
samerole :表示请求建立连接的用户必须是请求建立连接的数据库的同名角色的成员;PostgreSQL中,superuser可以访问所有对象,但是此处,superuser并不被认为是samerole的成员,除非显示的指定superuser为samerole的成员
replication :表示匹配一个物理复制(physical replication)连接
数据库名称:指定特定的数据库名称,如果要指定多个数据库则用逗号分割,例如:db01,db02,db03
@filePath :指定一个文件路径,文件中包含数据库的名称
USER:
USER 表示用户名,值可能为:
all :表示匹配所有用户
+groupName :表示匹配的组的成员,包括直接成员或者间接成员
角色名称 :指定特定的角色名称,多个角色之间用逗号隔开
@filePath :和DATABASE一样,也可以将配置放到文件中,文件名加上前缀@,文件中包含角色名称
ADDRESS:
ADDRESS 表示匹配的客户端地址列表,可以指定hostname、IP范围,或者下面提到的任何一个关键字:
all :all表示匹配所有的IP地址
samehost :表示匹配数据库服务器所具备的IP
samenet :表示匹配数据服务器所在的子网内的IP
ip :标识匹配的地址或地址范围,可以是一个IP地址范围,由IP地址和CIDR掩码组成,也可以是hostname。例如:
127.0.0.1/32
::1/128
192.168.1.100/32
pgmaster
192.168.1.0/24
0.0.0.0/0
::0/0
METHOD:
METHOD 密码加密策略,部分常见值如下:
ident :ident是Linux下PostgreSQL默认的local TCP/IP socket连接认证方式。
凡是能正确登录服务器的OS用户(注意:不是数据库用户)就能使用本用户映射的数据库用户不需密码登录数据库。用户映射文件为pg_ident.conf,这个文件记录着与操作系统用户匹配的数据库用户,如果某操作系统用户在本文件中没有映射用户,则默认的映射数据库用户与操作系统用户同名。
例如:服务器上有名为user1的OS用户,同时数据库上也有同名的数据库用户,user1登录操作系统后可以直接输入psql,以user1数据库用户身份登录数据库且不需密码。如果输入psql -U username登录数据库报“username ident 认证失败”的错误,而数据库用户明明已经create user创建过了,原因就是使用了ident认证方式却没有同名的操作系统用户或没有相应的映射用户。必须要在 pg_ident.conf 中添加映射用户才可以。
host all all 127.0.0.1/32 ident username //这里username表示某个没有建立映射的用户,不写默认可以用postgres用户登录,postgres用户安装的时候自动创建postgres用户,postgres相当于是数据库的管理员账号。
trust :无条件地允许连接。这个METHOD允许任何可以与PostgreSQL数据库服务器连接的用户以他们期望的任意PostgreSQL数据库用户身份进行连接,连接不需要口令。一般测试时使用。
md5 :将口令以md5方式加密后再发送密码。md5是常用的密码认证方式,如果你不使用ident,最好使用md5。密码是以md5形式传送给数据库,较安全,且不需建立同名的操作系统用户。
password :要求客户端提供一个未加密的口令进行认证。 因为口令是以明文形式在网络上传递的, 所以我们不应该在不安全的网络上使用这个方式。建议测试用。
reject :联接无条件拒绝。常用于从一个组中过滤/屏蔽某些主机。
peer :peer使用unix socket会话(客户端和数据库必须在同一个操作系统中)。pg_hba.conf指定local权限为peer,可以使用系统用户,但是也是要在postgres下面创建这个用户的,只是不需要输入密码而已。
peer认证方式通过从内核获得客户端的操作系统用户名并把它用作被允许的数据库用户名(和可选的用户名映射)来工作。这种方法只在本地连接上支持。
peer支持配置选项:map,允许在系统和数据库用户名之间映射。例如:
peer最大的好处就是可以在系统用户下直接输入psql + db,就能开始工作,不用指定用户名,无需密码,但是省不了必须在postgres下面创建用户的过程。
配置举例1:local all all peer
我有一个在Linux服务器上运行的ruby脚本。它不使用rails或任何东西。它基本上是一个命令行ruby脚本,可以像这样传递参数:./ruby_script.rbarg1arg2如何将参数抽象到配置文件(例如yaml文件或其他文件)中?您能否举例说明如何做到这一点?提前谢谢你。 最佳答案 首先,您可以运行一个写入YAML配置文件的独立脚本:require"yaml"File.write("path_to_yaml_file",[arg1,arg2].to_yaml)然后,在您的应用中阅读它:require"yaml"arg
我已经在Sinatra上创建了应用程序,它代表了一个简单的API。我想在生产和开发上进行部署。我想在部署时选择,是开发还是生产,一些方法的逻辑应该改变,这取决于部署类型。是否有任何想法,如何完成以及解决此问题的一些示例。例子:我有代码get'/api/test'doreturn"Itisdev"end但是在部署到生产环境之后我想在运行/api/test之后看到ItisPROD如何实现? 最佳答案 根据SinatraDocumentation:EnvironmentscanbesetthroughtheRACK_ENVenvironm
之前在培训新生的时候,windows环境下配置opencv环境一直教的都是网上主流的vsstudio配置属性表,但是这个似乎对新生来说难度略高(虽然个人觉得完全是他们自己的问题),加之暑假之后对cmake实在是爱不释手,且这样配置确实十分简单(其实都不需要配置),故斗胆妄言vscode下配置CV之法。其实极为简单,图比较多所以很长。如果你看此文还配不好,你应该思考一下是不是自己的问题。闲话少说,直接开始。0.CMkae简介有的人到大二了都不知道cmake是什么,我不说是谁。CMake是一个开源免费并且跨平台的构建工具,可以用简单的语句来描述所有平台的编译过程。它能够根据当前所在平台输出对应的m
注意:本文主要掌握DCN自研无线产品的基本配置方法和注意事项,能够进行一般的项目实施、调试与运维AP基本配置命令AP登录用户名和密码均为:adminAP默认IP地址为:192.168.1.10AP默认情况下DHCP开启AP静态地址配置:setmanagementstatic-ip192.168.10.1AP开启/关闭DHCP功能:setmanagementdhcp-statusup/downAP设置默认网关:setstatic-ip-routegeteway192.168.10.254查看AP基本信息:getsystemgetmanagementgetmanaged-apgetrouteAP配
1.1.1 YARN的介绍 为克服Hadoop1.0中HDFS和MapReduce存在的各种问题⽽提出的,针对Hadoop1.0中的MapReduce在扩展性和多框架⽀持⽅⾯的不⾜,提出了全新的资源管理框架YARN. ApacheYARN(YetanotherResourceNegotiator的缩写)是Hadoop集群的资源管理系统,负责为计算程序提供服务器计算资源,相当于⼀个分布式的操作系统平台,⽽MapReduce等计算程序则相当于运⾏于操作系统之上的应⽤程序。 YARN被引⼊Hadoop2,最初是为了改善MapReduce的实现,但是因为具有⾜够的通⽤性,同样可以⽀持其他的分布式计算模
我是ruby的新手,正在配置IRB。我喜欢pretty-print(需要'pp'),但总是输入pp来漂亮地打印它似乎很麻烦。我想做的是默认情况下让它漂亮地打印出来,所以如果我有一个var,比如说,'myvar',然后键入myvar,它会自动调用pretty_inspect而不是常规检查。我从哪里开始?理想情况下,我将能够向我的.irbrc文件添加一个自动调用的方法。有什么想法吗?谢谢! 最佳答案 irb中默认pretty-print对象正是hirb被迫去做。Theseposts解释hirb如何将几乎所有内容转换为ascii表。虽
我想在IRB中浏览文件系统并让提示更改以反射(reflect)当前工作目录,但我不知道如何在每个命令后进行提示更新。最终,我想在日常工作中更多地使用IRB,让bash溜走。我在我的.irbrc中试过这个:require'fileutils'includeFileUtilsIRB.conf[:PROMPT][:CUSTOM]={:PROMPT_N=>"\e[1m:\e[m",:PROMPT_I=>"\e[1m#{pwd}>\e[m",:PROMPT_S=>"FOO",:PROMPT_C=>"\e[1m#{pwd}>\e[m",:RETURN=>""}IRB.conf[:PROMPT_MO
我正在使用Ruby/Mechanize编写一个“自动填写表格”应用程序。它几乎可以工作。我可以使用精彩CharlesWeb代理以查看服务器和我的Firefox浏览器之间的交换。现在我想使用Charles查看服务器和我的应用程序之间的交换。Charles在端口8888上代理。假设服务器位于https://my.host.com。.一件不起作用的事情是:@agent||=Mechanize.newdo|agent|agent.set_proxy("my.host.com",8888)end这会导致Net::HTTP::Persistent::Error:...lib/net/http/pe
如果特定语言环境中缺少翻译,如何配置i18n以使用en语言环境翻译?当前已插入翻译缺失消息。我正在使用RoR3.1。 最佳答案 找到相似的question这里是答案:#application.rb#railswillfallbacktoconfig.i18n.default_localetranslationconfig.i18n.fallbacks=true#railswillfallbacktoen,nomatterwhatissetasconfig.i18n.default_localeconfig.i18n.fallback
对于我正在编写的Rails3应用程序,我正在考虑从本地文件系统上的XML、YAML或JSON文件中读取一些配置数据。重点是:我应该把这些文件放在哪里?Rails应用程序中是否有用于存储此类内容的默认位置?附带说明一下,我的应用程序部署在Heroku上。 最佳答案 我经常做的是:如果文件是通用配置文件:我在目录/config中创建一个YAML文件,每个环境有一个上层key如果我为每个环境(大项目)创建一个文件:我为每个环境创建一个YAML并将它们存储在/config/environments/然后我在加载YAML的地方创建了一个初始化
