參數名稱

描述

取值范圍

local

表示這條記錄只接受通過Unix域套接字進行的連接。沒有這種類型的記錄，就不允許Unix域套接字的連接。

只有在從服務器本機使用gsql連接且在不指定-h參數的情況下，才是通過Unix域套接字連接。

-

host

表示這條記錄既接受一個普通的TCP/IP套接字連接，也接受一個經過SSL加密的TCP/IP套接字連接。

-

hostssl

表示這條記錄只接受一個經過SSL加密的TCP/IP套接字連接。

用SSL進行安全的連接，需要配置申請數字證書并配置相關參數，詳細信息請參見產品文檔用SSL進行安全的TCP/IP連接。

hostnossl

表示這條記錄只接受一個普通的TCP/IP套接字連接。

-

DATABASE

聲明記錄所匹配且允許訪問的數據庫。

• all：表示該記錄匹配所有數據庫。
• sameuser：表示如果請求訪問的數據庫和請求的用戶同名，則匹配。
• samerole：表示請求的用戶必須是與數據庫同名角色中的成員。
• samegroup：與samerole作用完全一致，表示請求的用戶必須是與數據庫同名角色中的成員。
• 一個包含數據庫名的文件或者文件中的數據庫列表：文件可以通過在文件名前面加前綴@來聲明。文件中的數據庫列表以逗號或者換行符分隔。
• 特定的數據庫名稱或者用逗號分隔的數據庫列表。

值replication表示如果請求一個復制鏈接，則匹配，但復制鏈接不表示任何特定的數據庫。如需使用名為replication的數據庫，需在database列使用記錄“replication”作為數據庫名。

USER

聲明記錄所匹配且允許訪問的數據庫用戶。

• all：表明該記錄匹配所有用戶。
• +用戶角色：表示匹配任何直接或者間接屬于這個角色的成員。

+表示前綴符號。

• 一個包含用戶名的文件或者文件中的用戶列表：文件可以通過在文件名前面加前綴@來聲明。文件中的用戶列表以逗號或者換行符分隔。
• 特定的數據庫用戶名或者用逗號分隔的用戶列表。

ADDRESS

指定與記錄匹配且允許訪問的IP地址范圍。

支持IPv4和IPv6，可以使用如下兩種形式來表示：

• IP地址/掩碼長度。例如，10.10.0.0/24
• IP地址子網掩碼。例如，10.10.0.0 255.255.255.0

以IPv4格式給出的IP地址會匹配那些擁有對應地址的IPv6連接，比如127.0.0.1將匹配IPv6地址 ::ffff:127.0.0.1。

典型例子： ??172.20.143.89/32???用于一個主機，??172.20.143.0/24???用于一個小型網絡， 10.6.0.0/16用于一個大型網絡。 0.0.0.0/0表示所有 IPv4 地址，并且::0/0表示所有 IPv6 地址。要指定一個單一主機，IPv4 用一個長度為 32 的 CIDR掩碼或者 IPv6 用 長度為 128 的 CIDR 掩碼。在一個網絡地址中，不要省略結尾的零。

METHOD

聲明連接時使用的認證方法。

本產品支持如下幾種認證方式，詳細解釋請參見表2。

trust、reject、md5、sha256、sm3、cert、gss

認證方式

說明

trust

采用這種認證模式時，本產品只完全信任從服務器本機使用gsql且不指定-U參數的連接，此時不需要口令。

trust認證對于單用戶工作站的本地連接是非常合適和方便的，通常不適用于多用戶環境。如果想使用這種認證方法，可利用文件系統權限限制對服務器的Unix域套接字文件的訪問。要使用這種限制有兩個方法：

設置參數unix_socket_permissions和unix_socket_group。

設置參數unix_socket_directory，將Unix域套接字文件放在一個經過恰當限制的目錄里。

設置文件系統權限只能Unix域套接字連接，它不會限制本地TCP/IP連接。為保證本地TCP/IP安全，openGauss不允許遠程連接使用trust認證方法。

reject

無條件地拒絕連接。常用于過濾某些主機。

md5

要求客戶端提供一個md5加密的口令進行認證。openGauss保留md5認證和密碼存儲，是為了便于第三方工具的使用。

MD5加密算法安全性低，存在安全風險，建議使用更安全的加密算法。

sha256

要求客戶端提供一個sha256算法加密的口令進行認證，該口令在傳送過程中結合salt（服務器發送給客戶端的隨機數）的單向sha256加密，增強了安全性。

sm3

要求客戶端提供一個sm3算法加密口令進行認證，該口令在傳送過程中結合salt（服務器發送給客戶端的隨機數）的單項sm3的加密，增加了安全性。

cert

客戶端證書認證模式，此模式需進行SSL連接配置且需要客戶端提供有效的SSL證書，不需要提供用戶密碼。

該認證方式只支持hostssl類型的規則。

gss

使用基于gssapi的kerberos認證。

該認證方式依賴kerberos server等組件，僅支持openGauss內部通信認證。當前版本暫不支持外部客戶端通過kerberos認證連接。

開啟openGauss內部kerberos認證會使增加內部節點建連時間，即影響首次涉及內部建連的SQL操作性能，內部連接建立好后， 后續操作不受影響。

peer

獲取客戶端所在操作系統用戶名，并檢查與數據庫初始用戶名是否一致。此方式只支持local模式本地連接，并支持通過配置pg_ident.conf建立操作系統用戶與數據庫用戶映射關系。

假設操作系統用戶名為omm，數據庫初始用戶為dbAdmin，在pg_hba.conf中配置local模式為peer認證：

""local ??all ???all ???????peer ???map=mymap

其中map=mymap指定使用的用戶名映射，并在pg_ident.conf中添加映射名稱為mymap的用戶名映射如下：

""# MAPNAME ??????SYSTEM-USERNAME ????????PG-USERNAME

mymap ???????????????omm ?????????????????????????????????dbAdmin

說明：

通過gs_guc reload方式修改pg_hba.conf配置可以立即生效無需重啟數據庫。直接編輯修改pg_ident.conf配置后下次連接時自動生效無需重啟數據庫。

問題現象

解決方法

用戶名或密碼錯誤：

""FATAL: invalid username/password,login denied

這條信息說明用戶名或者密碼錯誤，請檢查輸入是否有誤。

連接的數據庫不存在：

""FATAL: database "TESTDB" does not exist

這條信息說明嘗試連接的數據庫不存在，請檢查連接的數據庫名輸入是否有誤。

未找到客戶端匹配記錄：

""FATAL: no pg_hba.conf entry for host "10.10.0.60", user "ANDYM", database "TESTDB"

這條信息說明已經連接了服務器，但服務器拒絕了連接請求，因為沒有在它的pg_hba.conf配置文件里找到匹配的記錄。請聯系數據庫管理員在pg_hba.conf配置文件加入用戶的信息。

在可信方法下禁止遠程連接。

“FATAL: Forbid remote connection with trust method!”

使用推薦的sha256認證。

使用的連接工具不支持sha256

none of the server’s SASL authentication mechanisms are supported

修改為使用md5方式連接。

出于安全考慮，openGauss默認加密方式為sha256,因此需要同步修改數據庫的加密方式：gs_guc set -N all -I all -c "password_encryption_type=1" ，即支持md5和sha256，重啟openGauss生效后需要創建用md5方式加密口令的用戶。同時修改pg_hba.conf，將客戶端連接方式修改為md5。

沒有復制連接的pg_hba.conf的配置

FATAL: no pg_hba.conf entry for replication connection from host "127.0.0.1", user "tuser", SSL off

修改pg_hba.conf的 replication privilege部分添加應記錄. 然后重新reload