Postgresql_fdw认证PostgreSQL 13的变化

PostgreSQL 13是发布一些很酷的功能,如指数提高,分区增强,和许多其他人。随着这些增强功能,有一些与安全相关的增强,需要一些解释。主要有两个:一是有关libpq postgres_fdw相关,另一个是。众所周知postgres_fdw被认为是一个“参考实现”的其他数据包装,所有其他数据包装跟随他们的脚步在发展。这是一个支持数据包装。这个博客将解释安全postgresq_fdw的变化。

1 -超级用户可以允许non-superusers postgres_fdw上建立一个无密码连接

以前,只有超级用户可以建立一个无密码连接使用postgres_fdw PostgreSQL。没有其他无密码认证方法是允许的。它被观察到,在某些情况下不需要密码,所以是没有意义的,限制。因此,PostgreSQL 13引入了一个新选项允许超级用户(password_required)可以给non-superusers postgres_fdw使用无密码连接。

postgres = #创建扩展postgres_fdw;创建扩展postgres = #创建服务器postgres_svr外国数据包装postgres_fdw选项(dbname postgres的);创建服务器postgres = #创建FORIENG表foo_for (INT)服务器postgres_svr选项(table_name“foo”);创建外国表postgres = #创建用户映射的流浪汉服务器postgres_svr;创建用户映射postgres = # SELECT * FROM foo_for;- - - 1 2 3(3行)

postgres = #创建扩展postgres_fdw;

创建扩展

postgres = #创建服务器postgres_svr外国数据包装postgres_fdw选项(dbname postgres的);

创建服务器

postgres = #创建FORIENG表foo_for (INT)服务器postgres_svr选项(table_name“foo”);

创建外国表

postgres = #创建用户映射的流浪汉服务器postgres_svr;

创建用户映射

postgres = #从foo_for SELECT *;

一个

- - - - - - - - -

( 3 行 )

当我们从non-superuser执行相同的查询,然后我们将得到这个错误信息:

错误:密码是必需的
细节:Non-superusers必须提供一个密码的用户映射

postgres = #创建用户nonsup;创建角色postgres = #为nonsup服务器postgres_svr创建用户映射;创建用户映射postgres = #格兰特在foo_for nonsup;格兰特vagrant@vagrant:美元/工作/数据psql postgres - u nonsup;psql(13.0)式的“帮助”寻求帮助。从foo_for postgres = > SELECT *;2020-09-28 13:00:02.798 UTC[16702]错误:密码是需要2020-09-28 13:00:02.798 UTC[16702]细节:Non-superusers必须提供一个密码的用户映射。2020-09-28 13:00:02.798 UTC[16702]语句:SELECT * FROM foo_for;错误:密码是必需的细节:Non-superusers必须提供一个密码的用户映射。

postgres = #创建用户nonsup;

创建角色

postgres = #创建用户映射nonsup服务器postgres_svr;

创建用户映射

postgres = #格兰特所有foo_for nonsup;

格兰特

流浪的 @ 流浪的 : / 工作 / 数据美元 psql postgres - - - - - - U nonsup ;

psql ( 13.0 )

类型 “帮助” 为帮助 .gydF4y2Ba

postgres = > 选择 * 从 foo_for ;

2020年 - - - - - - 09年 - - - - - - 28 13 : 00 : 02.798 UTC ( 16702年 ] 错误 : 密码是要求

2020年 - - - - - - 09年 - - - - - - 28 13 : 00 : 02.798 UTC ( 16702年 ] 细节 : 非 - - - - - - 超级用户必须提供一个密码在的用户映射 .gydF4y2Ba

2020年 - - - - - - 09年 - - - - - - 28 13 : 00 : 02.798 UTC ( 16702年 ] 声明 : 选择 * 从 foo_for ;

错误 : 密码是要求

细节 : 非 - - - - - - 超级用户必须提供一个密码在的用户映射 .gydF4y2Ba

现在执行相同的查询设置新的参数后,从non-superuser password_required“假”在创建用户映射。

vagrant@vagrant:美元/工作/数据psql postgres psql(13.0)式的“帮助”寻求帮助。postgres = #用户映射nonsup服务器postgres_svr下降;删除用户映射postgres = #创建用户映射nonsup服务器postgres_svr选项(password_required '错误');创建用户映射vagrant@vagrant:美元/工作/数据psql postgres - u nonsup;psql(13.0)式的“帮助”寻求帮助。从foo_for postgres = > SELECT *;- - - 1 2 3(3行)

20.

流浪的 @ 流浪的 : / 工作 / 数据美元 psql postgres

psql ( 13.0 )

类型 “帮助” 为帮助 .gydF4y2Ba

postgres = #删除用户映射为nonsup服务器postgres_svr;

下降用户映射

postgres = #创建用户映射为nonsup服务器postgres_svr选项(password_required '错误');

创建用户映射

流浪的 @ 流浪的 : / 工作 / 数据美元 psql postgres - - - - - - U nonsup ;

psql ( 13.0 )

类型 “帮助” 为帮助 .gydF4y2Ba

postgres = > 选择 * 从 foo_for ;

一个

- - - - - - - - -

( 3 行 )

2 -通过SSL证书身份验证

提供了一个新选项在postgres_fdw使用SSL证书进行身份验证。为了达到这个目标,这两个新选项添加到使用该特性sslkey sslcert。

在执行这个任务之前,我们需要为服务器和客户端配置SSL。有许多可用的博客(如何启用SSL身份验证的教育局Postgres先进的服务器和SSL证书为PostgreSQL为PostgreSQL)设置SSL,这个博客试图配置SSL的最低要求。

第一步:生成的关键PGDATA美元

vagrant@vagrant美元openssl genrsa -des3两级服务器。关键1024年生成RSA私人关键,1024年位长模量 (2 primes) .+++++ ..................+++++ e is 65537 (0x010001) Enter pass phrase for server.key: Verifying - Enter pass phrase for server.key: vagrant@vagrant$ openssl rsa -in server.key -out server.key Enter pass phrase for server.key: writing RSA key

流浪的 @ 流浪的美元 openssl genrsa - - - - - - des3 - - - - - - 出服务器。key 1024年

生成 RSA 私人关键 , 1024年位长模量 ( 2 质数 )

.gydF4y2Ba + + + + +

如ydF4y2Ba 是 65537年 ( 0 x010001 )

输入通过短语为服务器。key :

验证 - - - - - - 输入通过短语为服务器。key :

流浪的 @ 流浪的美元 openssl rsa - - - - - - 在服务器。key - - - - - - 出服务器。key

输入通过短语为服务器。key :

写作 RSA 关键

步骤2:改变server.key的模式

美元vagrant@vagrant chmod og-rwx server.key

1	流浪的 @ 流浪的美元修改文件权限噩 - - - - - - 特权服务器。key

第三步:生成证书

vagrant@vagrant openssl要求美元以及其他关键服务器。天3650两级服务器的关键。crt x509——国家名称(2字母代码)(非盟):PK州或省的名字(全名)[状态]:该校所在地名称(如城市)[]:伊斯兰堡组织名称(如公司)(互联网Widgits Pty Ltd): Percona组织单元名称(例如,部分)[]:开发通用名称(如服务器FQDN或你的名字)[]:localhost邮件地址[]:ibrar.ahmad@gmail.com vagrant@vagrant cp美元服务器。雷竞技下载官网crt crt

流浪的 @ 流浪的美元 openssl 要求的事情 - - - - - - 新 - - - - - - 关键服务器。key - - - - - - 天 3650年 - - - - - - 出服务器 .crt - - - - - - x509

- - - - - - - - - - - -

国家的名字 ( 2 信代码 ) ( 非盟 ] : PK

状态或省的名字 ( 完整的的名字 ) ( 一些 - - - - - - 状态 ] : 自己的特色

位置的名字 ( 如 , 城市 ) ( ] : 伊斯兰堡

组织的名字 ( 如 , 公司 ) ( 互联网 Widgits 企业有限公司 ] : 雷竞技下载官网

组织单位的名字 ( 如 , 部分 ) ( ] : Dev

常见的的名字 ( 如ydF4y2Ba .g .gydF4y2Ba 服务器 FQDN 或你的的名字 ) ( ] : 本地主机

电子邮件地址 ( ] : ibrar .ahmad @ Gmail com

流浪的 @ 流浪的美元 cp 服务器 .crt 根 .crt

现在我们需要生成客户端证书。

第四步:生成一个客户机密钥

美元vagrant@vagrant openssl genrsa -des3两级/ tmp / postgresql。关键1024年生成RSA私人关键,1024年位长模量 (2 primes) ..........................+++++ .....................................................+++++ e is 65537 (0x010001) Enter pass phrase for /tmp/postgresql.key: Verifying - Enter pass phrase for /tmp/postgresql.key: vagrant@vagrant$ openssl rsa -in /tmp/postgresql.key -out /tmp/postgresql.key Enter pass phrase for /tmp/postgresql.key: writing RSA key vagrant@vagrant$ openssl req -new -key /tmp/postgresql.key -out /tmp/postgresql.csr ----- Country Name (2 letter code) [AU]:PK State or Province Name (full name) [Some-State]:ISB Locality Name (eg, city) []:Islamabad Organization Name (eg, company) [Internet Widgits Pty Ltd]:Percona Organizational Unit Name (eg, section) []:Dev Common Name (e.g. server FQDN or YOUR name) []:127.0.0.1 Email Address []:ibrar.ahmad@gmail.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:pakistan An optional company name []:Percona

20.

29日

流浪的 @ 流浪的美元 openssl genrsa - - - - - - des3 - - - - - - 出 / tmp / postgresql 。key 1024年

生成 RSA 私人关键 , 1024年位长模量 ( 2 质数 )

.gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba .gydF4y2Ba + + + + +

如ydF4y2Ba 是 65537年 ( 0 x010001 )

输入通过短语为 / tmp / postgresql 。key :

验证 - - - - - - 输入通过短语为 / tmp / postgresql 。key :

流浪的 @ 流浪的美元 openssl rsa - - - - - - 在 / tmp / postgresql 。key - - - - - - 出 / tmp / postgresql 。key

输入通过短语为 / tmp / postgresql 。key :

写作 RSA 关键

流浪的 @ 流浪的美元 openssl 要求的事情 - - - - - - 新 - - - - - - 关键 / tmp / postgresql 。key - - - - - - 出 / tmp / postgresql csr

- - - - - - - - - - - -

国家的名字 ( 2 信代码 ) ( 非盟 ] : PK

状态或省的名字 ( 完整的的名字 ) ( 一些 - - - - - - 状态 ] : 自己的特色

位置的名字 ( 如 , 城市 ) ( ] : 伊斯兰堡

组织的名字 ( 如 , 公司 ) ( 互联网 Widgits 企业有限公司 ] : 雷竞技下载官网

组织单位的名字 ( 如 , 部分 ) ( ] : Dev

常见的的名字 ( 如ydF4y2Ba .g .gydF4y2Ba 服务器 FQDN 或你的的名字 ) ( ] : 127.0.0.1

电子邮件地址 ( ] : ibrar .ahmad @ Gmail com

请输入的后 “额外的” 属性

来是发送与你的证书请求

一个挑战密码 ( ] : 巴基斯坦

一个可选公司的名字 ( ] : 雷竞技下载官网

第五步:复制根。crt到客户端

vagrant@vagrant cp data5555美元/根。crt / tmp /

1	流浪的 @ 流浪的美元 cp data5555 / 根 .crt / tmp /

第六步:测试连接使用一个证书

vagrant@vagrant psql '主机=本地主机端口= 5555美元dbname = postgres用户= ibrar sslmode = verify-full sslcert = / tmp / postgresql。crt sslkey = / tmp / postgresql。关键sslrootcert = / tmp /根。crt的SSL连接psql(13.0)(协议:TLSv1.3,密码:TLS_AES_256_GCM_SHA384: 256年,压缩:)类型“帮助”寻求帮助。postgres = > \问

流浪的 @ 流浪的美元 psql “主机=本地主机端口= postgres用户= = 5555 dbname ibrar sslmode = verify-full sslcert = / tmp / postgresql。crt sslkey = / tmp / postgresql。关键sslrootcert = / tmp /根。crt'

psql ( 13.0 )

SSL 连接 ( 协议 : TLSv1 .gydF4y2Ba 3 , 密码 : TLS_AES_256_GCM_SHA384 , 位 : 256年 , 压缩 : 从 )

类型 “帮助” 为帮助 .gydF4y2Ba

postgres = > \ 问

现在我们已经准备好了,我们可以创建一个外国在PostgreSQL服务器证书。

postgres = #创建服务器postgres_ssl_svr外国数据包装postgres_fdw选项(dbname postgres,举办“localhost”,港口‘5555’,sslcert / tmp / postgresql。crt, sslkey / tmp / postgresql。关键', sslrootcert '/tmp/root.crt'); CREATE SERVER postgres=# create user MAPPING FOR vagrant SERVER postgres_ssl_svr; CREATE USER MAPPING postgres=# create foreign table foo_ssl_for(a int) server postgres_ssl_svr options(table_name 'foo'); CREATE FOREIGN TABLE

postgres = #创建服务器postgres_ssl_svr外国数据包装postgres_fdw选项(dbname postgres,举办“localhost”,港口‘5555’,sslcert / tmp / postgresql。crt, sslkey / tmp / postgresql。关键', sslrootcert '/tmp/root.crt');

创建服务器

postgres = #创建用户映射的流浪汉服务器postgres_ssl_svr;

创建用户映射

postgres = #创建外国表foo_ssl_for (int)服务器postgres_ssl_svr选项(table_name“foo”);

创建外国表

现在我们已经做好准备,将查询通过postgres_fdw外国表使用证书身份验证。

从foo_ssl_for postgres = # select *;- - - 1 2 3(3行)

postgres = #从foo_ssl_for select *;

一个

- - - - - - - - -

( 3 行 )

注意:只有超级用户可以修改用户映射选项sslcert和sslkey设置。

我们的白皮书”为什么选择PostgreSQL ?”看着PostgreSQL的特点和优点,提出了一些实际的用法示例。我们还研究如何对企业有用PostgreSQL从Oracle迁移。

下载

雷竞技下载官网
raybet雷竞技竞猜在线官网监测和
管理

MySQL 5.7
生命的结束

软件
下载

产品
文档

资源中心

金融
服务

雷竞技下载官网Percona博客

雷竞技下载官网Percona社区中心

雷竞技下载官网Percona活动中心

关于Perc雷竞技下载官网ona

雷竞技下载官网Percona新闻

我们的客户

我们的合作伙伴

职业生涯

联系我们

Postgresql_fdw认证PostgreSQL 13的变化

1 -超级用户可以允许non-superusers postgres_fdw上建立一个无密码连接

2 -通过SSL证书身份验证

第一步:生成的关键PGDATA美元

步骤2:改变server.key的模式

第三步:生成证书

第四步:生成一个客户机密钥

第五步:复制根。crt到客户端

第六步:测试连接使用一个证书

相关的

相关的博客文章

推荐的文章

PostgreSQL应该成为多线程?

现成的高可用性架构为MySQL和PostgreSQL

raybet雷竞技竞猜在线官网监控一个PostgreSQL Patroni集群

最受欢迎文章

自动化Kubernetes MongoDB的物理备份

保持你的数据库安全Percona顾问雷竞技下载官网

雷竞技下载官网Percona XtraBackup现在支持我实例配置文件

雷竞技下载官网raybet雷竞技竞猜在线官网监测和管理

MySQL 5.7生命的结束

软件下载

产品文档

资源中心

金融服务

雷竞技下载官网Percona博客

雷竞技下载官网Percona社区中心

雷竞技下载官网Percona活动中心

关于Perc雷竞技下载官网ona

雷竞技下载官网Percona新闻

我们的客户

我们的合作伙伴

职业生涯

联系我们

Postgresql_fdw认证PostgreSQL 13的变化

1 -超级用户可以允许non-superusers postgres_fdw上建立一个无密码连接

2 -通过SSL证书身份验证

第一步:生成的关键PGDATA美元

步骤2:改变server.key的模式

第三步:生成证书

第四步:生成一个客户机密钥

第五步:复制根。crt到客户端

第六步:测试连接使用一个证书

相关的

分享这篇文章!

想要每周更新清单的最新博客文章?

相关的博客文章

推荐的文章

PostgreSQL应该成为多线程?

现成的高可用性架构为MySQL和PostgreSQL

raybet雷竞技竞猜在线官网监控一个PostgreSQL Patroni集群

最受欢迎文章

自动化Kubernetes MongoDB的物理备份

保持你的数据库安全Percona顾问雷竞技下载官网

雷竞技下载官网Percona XtraBackup现在支持我实例配置文件

雷竞技下载官网
raybet雷竞技竞猜在线官网监测和
管理

MySQL 5.7
生命的结束

软件
下载

产品
文档

金融
服务