更新时间:2025-09-05 GMT+08:00
分享

新增接入认证配置

操作场景

当主机需要远程连接数据库时,需要在数据库系统的配置文件中增加此主机的信息,并进行客户端接入认证。为提升用户使用数据库的便利性,GaussDB实例在发放时会在客户端接入认证配置文件中增加如下默认配置。
  • 集中式版实例默认配置(假设实例所属子网的网段为192.168.0.0)
    1
    2
    3
    4
    5
    TYPE   DATABASE        USER    ADDRESS           METHOD
    host    all            all     0:0:0:0/0         sha256
    host    all            all     192.168.0.0/16    sha256
    host    replication    all     192.168.0.0/16    sha256
    host    replication    all     0:0:0:0/0         sha256
    
    • 第一条:表示允许所有用户,所有IPv4客户端,使用sha256协议访问所有数据库。
    • 第二条:表示允许所有用户,当前实例所在子网的所有IPv4客户端,使用sha256协议访问所有数据库。
    • 第三条:表示允许所有用户,当前实例所在子网的所有IPv4客户端,使用sha256协议请求一个复制连接。
    • 第四条:表示允许所有用户,所有IPv4客户端,使用sha256协议请求一个复制连接。
  • 分布式版实例默认配置
    该配置表示允许所有用户,所有IPv4客户端,使用sha256协议访问所有数据库。
    1
    2
    TYPE   DATABASE        USER    ADDRESS           METHOD
    host    all            all     0:0:0:0/0         sha256
    

通常情况下,默认配置可以满足大部分客户端的远程连接需求。如果您在后续的使用中,有更细粒度控制客户端接入的需求,或者已有的接入认证配置不满足您的日常使用,GaussDB支持用户在控制台新增客户端接入认证信息。本章节将详细介绍如何在控制台新增客户端接入认证配置。

约束限制

  • 配置客户端接入认证,需要实例所有节点都是正常状态。
  • 在跨Region容灾场景下,主实例新增的客户端接入认证配置,灾备实例不会自动同步。
  • V2.0-8.1.0及以上版本的实例支持ADDRESS配置IPv6地址。如何查看实例版本请参见查看数据库引擎版本
  • 集中式版实例配置信息会同步到所有节点,分布式版实例配置信息会同步所有CN组件。
  • 外部客户端使用M-Compatibility兼容协议远程连接M-Compatibility数据库时,只支持sha256认证方式。
  • 新增接入认证配置后,在新创建会话时会生效。
  • 批量新增最多一次新增十条。

操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择数据库 > 云数据库 GaussDB,进入云数据库 GaussDB信息页面。
  4. “实例管理”页面,选择指定的实例,单击实例的名称,进入基本信息页面。
  5. 在左侧导航栏选择“数据库管理 > 接入认证管理”。
  6. 在“接入认证配置”页签,单击“批量添加”。

    图1 新增接入认证配置

  7. 配置接入认证信息,单击“确定”

    图2 配置接入认证信息

    表1 参数说明

    参数名称

    参数解释

    TYPE

    客户端连接类型。

    • host:表示数据库实例既接受一个普通的TCP/IP套接字连接,也接受一个经过SSL加密的TCP/IP套接字连接。
    • hostssl:表示数据库实例只接受一个经过SSL加密的TCP/IP套接字连接。
    • hostnossl:表示数据库实例只接受一个普通的TCP/IP套接字连接。

    DATABASE

    声明允许访问的数据库。

    • all:表示该记录匹配所有数据库。
    • 特定的数据库名称或者数据库列表。
      说明:
      • 值replication表示如果请求一个复制连接,则匹配,但复制连接不表示任何特定的数据库。如需使用名为replication的数据库,需在database列使用记录“replication”作为数据库名。

    USER

    声明允许访问的数据库用户。

    • all:表明该记录匹配所有用户。
    • 特定的数据库用户名或者用户列表。

    ADDRESS

    指定允许访问的IP地址范围。

    • 当前仅支持IP地址/掩码长度格式。
    • V2.0-8.1.0及以上的数据库引擎版本支持ADDRESS配置IPv6的IP地址。

    METHOD

    声明连接时使用的认证方法。

    • reject:无条件地拒绝连接。常用于过滤某些主机。
    • md5:MD5加密算法安全性低,存在安全风险,不推荐使用,建议使用更安全的加密算法。默认不支持,若需启用,可通过修改password_encryption_type参数进行配置,如何修改参数可参见修改实例参数
    • sha256:要求客户端提供一个sha256算法加密的口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单向sha256加密,增强了安全性。
    • sm3:要求客户端提供一个sm3算法加密口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单向sm3加密,增加了安全性。
    • cert:客户端证书认证模式,此模式需进行SSL连接配置且需要客户端提供有效的SSL证书,不需要提供用户密码。cert认证方式只支持hostssl类型的规则。

  8. 添加完成后,您可以在列表中查看已添加的配置信息。

相关文档