新增接入认证配置
操作场景
- 集中式版实例默认配置(假设实例所属子网的网段为192.168.0.0)
1 2 3 4 5
TYPE DATABASE USER ADDRESS METHOD host all all 0:0:0:0/0 sha256 host all all 192.168.0.0/16 sha256 host replication all 192.168.0.0/16 sha256 host replication all 0:0:0:0/0 sha256
- 第一条:表示允许所有用户,所有IPv4客户端,使用sha256协议访问所有数据库。
- 第二条:表示允许所有用户,当前实例所在子网的所有IPv4客户端,使用sha256协议访问所有数据库。
- 第三条:表示允许所有用户,当前实例所在子网的所有IPv4客户端,使用sha256协议请求一个复制连接。
- 第四条:表示允许所有用户,所有IPv4客户端,使用sha256协议请求一个复制连接。
- 分布式版实例默认配置
通常情况下,默认配置可以满足大部分客户端的远程连接需求。如果您在后续的使用中,有更细粒度控制客户端接入的需求,或者已有的接入认证配置不满足您的日常使用,GaussDB支持用户在控制台新增客户端接入认证信息。本章节将详细介绍如何在控制台新增客户端接入认证配置。
约束限制
- 配置客户端接入认证,需要实例所有节点都是正常状态。
- 在跨Region容灾场景下,主实例新增的客户端接入认证配置,灾备实例不会自动同步。
- V2.0-8.1.0及以上版本的实例支持ADDRESS配置IPv6地址。如何查看实例版本请参见查看数据库引擎版本。
- 集中式版实例配置信息会同步到所有节点,分布式版实例配置信息会同步所有CN组件。
- 外部客户端使用M-Compatibility兼容协议远程连接M-Compatibility数据库时,只支持sha256认证方式。
- 新增接入认证配置后,在新创建会话时会生效。
- 批量新增最多一次新增十条。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域和项目。
- 在页面左上角单击
,选择 ,进入云数据库 GaussDB信息页面。
- 在“实例管理”页面,选择指定的实例,单击实例的名称,进入 页面。
- 在左侧导航栏选择“数据库管理 > 接入认证管理”。
- 在“接入认证配置”页签,单击“批量添加”。
图1 新增接入认证配置
- 配置接入认证信息,单击“确定”。
图2 配置接入认证信息
表1 参数说明 参数名称
参数解释
TYPE
客户端连接类型。
- host:表示数据库实例既接受一个普通的TCP/IP套接字连接,也接受一个经过SSL加密的TCP/IP套接字连接。
- hostssl:表示数据库实例只接受一个经过SSL加密的TCP/IP套接字连接。
- hostnossl:表示数据库实例只接受一个普通的TCP/IP套接字连接。
DATABASE
声明允许访问的数据库。
- all:表示该记录匹配所有数据库。
- 特定的数据库名称或者数据库列表。
说明:
- 值replication表示如果请求一个复制连接,则匹配,但复制连接不表示任何特定的数据库。如需使用名为replication的数据库,需在database列使用记录“replication”作为数据库名。
USER
声明允许访问的数据库用户。
- all:表明该记录匹配所有用户。
- 特定的数据库用户名或者用户列表。
ADDRESS
指定允许访问的IP地址范围。
- 当前仅支持IP地址/掩码长度格式。
- V2.0-8.1.0及以上的数据库引擎版本支持ADDRESS配置IPv6的IP地址。
METHOD
声明连接时使用的认证方法。
- reject:无条件地拒绝连接。常用于过滤某些主机。
- md5:MD5加密算法安全性低,存在安全风险,不推荐使用,建议使用更安全的加密算法。默认不支持,若需启用,可通过修改password_encryption_type参数进行配置,如何修改参数可参见修改实例参数。
- sha256:要求客户端提供一个sha256算法加密的口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单向sha256加密,增强了安全性。
- sm3:要求客户端提供一个sm3算法加密口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单向sm3加密,增加了安全性。
- cert:客户端证书认证模式,此模式需进行SSL连接配置且需要客户端提供有效的SSL证书,不需要提供用户密码。cert认证方式只支持hostssl类型的规则。
- 添加完成后,您可以在列表中查看已添加的配置信息。