配置文件参考

    表 2 认证方式

    认证方式

    trust

    采用这种认证模式时,本产品只完全信任从服务器本机使用gsql且不指定-U参数的连接,此时不需要口令。

    trust认证对于单用户工作站的本地连接是非常合适和方便的,通常不适用于多用户环境。如果想使用这种认证方法,可利用文件系统权限限制对服务器的Unix域套接字文件的访问。要使用这种限制有两个方法:

    须知:

    设置文件系统权限只能Unix域套接字连接,它不会限制本地TCP/IP连接。为保证本地TCP/IP安全,openGauss不允许远程连接使用trust认证方法。

    reject

    无条件地拒绝连接。常用于过滤某些主机。

    md5

    要求客户端提供一个md5加密的口令进行认证。

    须知:

    不推荐使用md5认证,因为md5为不安全的加密算法,存在网络安全风险。openGauss保留md5认证和密码存储,是为了便于第三方工具的使用(比如TPCC评测工具)。

    sha256

    要求客户端提供一个sha256算法加密的口令进行认证,该口令在传送过程中结合salt(服务器发送给客户端的随机数)的单向sha256加密,增强了安全性。

    cert

    客户端证书认证模式,此模式需进行SSL连接配置且需要客户端提供有效的SSL证书,不需要提供用户密码。

    须知:

    该认证方式只支持hostssl类型的规则。

    gss

    须知:
    • 开启openGauss内部kerberos认证会使增加内部节点建连时间,即影响首次涉及内部建连的SQL操作性能,内部连接建立好后, 后续操作不受影响。