通达科技 - 宜兴电脑维护及IT服务外包服务商

客户端访问和认证受到标准的PostgreSQL的基于主机的认证文件（pg_hba.conf）的控制。

格式

pg_hba.conf文件的一般格式是一组记录，每行一个。一个记录由多个被空格或者制表符分隔的域组成。如果域值被加上引号，域可以包含空格。记录不能跨越多行。

每一行的格式为：

连接方式 连接的数据库 连接的用户 连接的主机IP 认证方式
每一个远程客户端访问记录具有如下的格式：

host database role CIDR-address authentication-method
每一个UNIX-域套接字记录具有如下的格式：

local database role authentication-method

连接方式

连接方式有四种：local 、host、hostssl、hostnossl

local
这条记录匹配通过 Unix 域套接字进行的联接企图， 没有这种类型的记录，就不允许 Unix 域套接字的联接。

host
这条记录匹配通过TCP/IP网络进行的联接尝试。他既匹配通过ssl方式的连接，也匹配通过非ssl方式的连接。

注意：要使用该选项你要在postgresql.conf文件里设置listen_address选项，不在listen_address里的IP地址是无法匹配到的。因为默认的行为是只在localhost上监听本地连接。

hostssl
这条记录匹配通过在TCP/IP上进行的SSL联接企图。

要使用该选项，服务器编译时必须使用–with-openssl选项，并且在服务器启动时ssl设置是打开的.

hostnossl
这个和上面的hostssl相反，只匹配通过在TCP/IP上进行的非SSL联接企图。

数据库

指定这一记录匹配的数据库名。值all指定它匹配所有数据库。可以提供多个数据库名，用逗号分隔它们。在文件名前面放一个@，可以指定一个含有数据库名的单独的文件。

用户名

指定这一记录匹配的数据库角色名。值all指定它匹配所有角色。如果指定的角色是一个组并且希望该组中的所有成员都被包括在内，在该角色名前面放一个+。可以提供多个角色名，用逗号分隔它们。在文件名前面放一个@，可以指定一个含有角色名的单独的文件。

主机IP

指定这一记录匹配的客户端机器的IP地址范围。它包含一个标准点分十进制表示的IP地址和一个CIDR掩码长度。IP地址只能用数字指定，不能写成域或者主机名。掩码长度指示客户端IP地址必须匹配的高位位数。给定IP地址中，在这些位的右边必须是零。IP地址、/和CIDR掩码长度之间不能有任何空格。
典型的CIDR地址例子是：192.0.2.89/32是一个单一主机，192.0.2.0/24是一个小网络，10.6.0.0/16是一个大网络。要指定一个单一主机，对IPv4使用一个CIDR掩码32，对IPv6使用128。在一个网络地址中，不要省略拖尾的零。

ip地址(ip-address)、子网掩码(ip-mask)
这两个字段包含可以看成是标准点分十进制表示的 IP地址/掩码值的一个替代。
例如，使用255.255.255.0 代表一个24位的子网掩码。它们俩放在一起，声明了这条记录匹配的客户机的 IP 地址或者一个IP地址范围。

本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。

认证方法

常用的认证方法有：

trust
无条件地允许联接，这个方法允许任何可以与PostgreSQL 数据库联接的用户以他们期望的任意 PostgreSQL 数据库用户身份进行联接，而不需要口令。

reject
联接无条件拒绝，常用于从一个组中"过滤"某些主机。

md5
要求客户端提供一个 MD5 加密的口令进行认证，这个方法是允许加密口令存储在pg_shadow里的唯一的一个方法。

password
和"md5"一样，但是口令是以明文形式在网络上传递的，我们不应该在不安全的网络上使用这个方式。

示例

使用

pg_hba.conf修改后，使用pg_ctl reload重新读取pg_hba.conf文件使其生效。