文档章节

postgresql ident验证机制的实现

harris2016
 harris2016
发布于 2016/06/22 16:55
字数 655
阅读 966
收藏 0

「深度学习福利」大神带你进阶工程师,立即查看>>>

  postgresql 数据库中提供了ident验证机制。postgresql中的ident验证机制的实现方式是向客户端的113号端口发送消息来查询系统用户信息。通过系统用户信息来验证客户的安全性。

1. 113号端口

   113号端口是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。

2. ident验证机制的使用

    1)配置pg_ident.conf文件

    这个文件配置的是系统用户与数据库用户之间的一种映射关系。这个文件的配置方法如下所示:

上面的例子是来自postgres官方文档,其中omicron是map name,一个map name可以对应多个系统用户与数据库用户的映射。在编写好这个映射文件后就需要配置pg_hba.conf文件。

2)配置pg_hba.conf文件

上图中172.30.12.0的客户端的验证方式是ident,map name为omicron。

3. 实现的原理

ident验证方式的实现函数是ident_inet。

1)创建一个socket

sock_fd = socket(ident_serv->ai_family, ident_serv->ai_socktype,
					 ident_serv->ai_protocol);
	if (sock_fd == PGINVALID_SOCKET)
	{
		ereport(LOG,
				(errcode_for_socket_access(),
				 errmsg("could not create socket for Ident connection: %m")));
		ident_return = false;
		goto ident_inet_done;
	}

2)绑定sock_fd到本地地址上面

rc = bind(sock_fd, la->ai_addr, la->ai_addrlen);
if (rc != 0)
{
	ereport(LOG,
			(errcode_for_socket_access(),
			 errmsg("could not bind to local address \"%s\": %m",
					local_addr_s)));
	ident_return = false;
	goto ident_inet_done;
}

3. 建立到客户端的连接

rc = connect(sock_fd, ident_serv->ai_addr,ident_serv->ai_addrlen);
if (rc != 0)
{
	ereport(LOG,
			(errcode_for_socket_access(),
			 errmsg("could not connect to Ident server at address \"%s\", port %s: %m",
					remote_addr_s, ident_port)));
	ident_return = false;
	goto ident_inet_done;
}

4.发送查询到客户端

/* The query we send to the Ident server */
snprintf(ident_query, sizeof(ident_query), "%s,%s\r\n",
		 remote_port, local_port);

/* loop in case send is interrupted */
do
{
	rc = send(sock_fd, ident_query, strlen(ident_query), 0);
} while (rc < 0 && errno == EINTR);

5. 接收并解析数据

do
{
	rc = recv(sock_fd, ident_response, sizeof(ident_response) - 1, 0);
} while (rc < 0 && errno == EINTR);

if (rc < 0)
{
	ereport(LOG,
			(errcode_for_socket_access(),
			 errmsg("could not receive response from Ident server at address \"%s\", port %s: %m",
					remote_addr_s, ident_port)));
	ident_return = false;
	goto ident_inet_done;
}

ident_response[rc] = '\0';
ident_return = interpret_ident_response(ident_response, ident_user);
if (!ident_return)
	ereport(LOG,
		(errmsg("invalidly formatted response from Ident server: \"%s\"",
				ident_response)));

接收到的数据类似于2000:USERID::harris\r\n这样的格式。其中2000是端口号,harris是系统用户名。通过interpret_ident_response函数解析出系统用户名。

6. 通过user map判断用户是否合法

if (ident_return)
		/* Success! Check the usermap */
		return check_usermap(port->hba->usermap, port->user_name, ident_user, false);

则合法就认为验证通过,否则认为验证失败。通过上面的整个过程来看ident的实现还是比较简单的。

 

harris2016
粉丝 11
博文 54
码字总数 30661
作品 0
杭州
程序员
私信 提问
加载中
请先登录后再评论。
Netty那点事(三)Channel与Pipeline

Channel是理解和使用Netty的核心。Channel的涉及内容较多,这里我使用由浅入深的介绍方法。在这篇文章中,我们主要介绍Channel部分中Pipeline实现机制。为了避免枯燥,借用一下《盗梦空间》的...

黄亿华
2013/11/24
2W
22
用vertx实现高吞吐量的站点计数器

工具:vertx,redis,mongodb,log4j 源代码地址:https://github.com/jianglibo/visitrank 先看架构图: 如果你不熟悉vertx,请先google一下。我这里将vertx当作一个容器,上面所有的圆圈要...

jianglibo
2014/04/03
4.2K
3
SQLServer实现split分割字符串到列

网上已有人实现sqlserver的split函数可将字符串分割成行,但是我们习惯了split返回数组或者列表,因此这里对其做一些改动,最终实现也许不尽如意,但是也能解决一些问题。 先贴上某大牛写的s...

cwalet
2014/05/21
9.7K
0
表单验证插件--Jquery表单验证插件

目前支持对以下格式的值进行验证: cnum-(纯数字), char-(纯字母), zwen-(中文), bysc-(字母开头), mail(邮箱), yzbm(邮政编码) 其中的‘’表示长度,比如“zwen1-5”表示中文1-5位的长度。同...

huanganiu
2013/01/23
4.4K
0
代码生成器--Codgen

Codgen是一个基于数据库元数据模型,使用freemarker模板引擎来构建输出的代码生成器。freemarker的数据模型结构通常来说都是一个Map树状结构模型,codgen也不例外,它的数据模型这棵树的根节...

黄天政
2013/01/29
1.4W
2

没有更多内容

加载失败,请刷新页面

加载更多

汇总一下 Intellij IDEA 常用的牛逼插件!

来源:blog.csdn.net/sunny243788557/java/article/details/106011723 1、日晒主题 Solarized Themes 2、idea上 类调用时序图 SequenceDiagram for IntelliJ IDEA 3、彩色括号 Rainbow Brac......

路人甲Java
昨天
12
0
StringBuider 在什么条件下、如何使用效率更高?

点击上方“方志朋”,选择“设为星标” 回复”666“获取新整理的面试文章 作者:后青春期的Keats cnblogs.com/keatsCoder/p/13212289.html 引言 都说 StringBuilder 在处理字符串拼接上效率要...

方志朋
昨天
7
0
预告|悬镜子芽:新一代灰盒安全测试技术实践分享

点击蓝字 关注我们 万物皆有法,方能有序运行。网络安全进化到内生安全时代,以框架为起点,规划全景,技术内生外长,不断叠加,形成新一代网络安全之道。2020北京网络安全大会(BCS2020)已...

悬镜
昨天
0
0
zoom免费用户无法在中国登陆,RHUB免费续航zoom

中美关系日趋紧张,许多产品强制要求用户站队,zoom已经做了选择,抛弃众多信任、认可zoom产品的用户。微软选择坚持为中国用户提供服务,谁又说得来明天会如何?我们如此泱泱大国,竟要受制于...

osc_gt7nq50v
21分钟前
19
0
kubernetes 安装笔记

ssh -p 9000 root@127.0.0.1 192.168.56.101 master-node 192.168.56.102 work-node1 192.168.56.103 work-node2 由于kubeadm 默认从官网k8s.grc.io下载所需镜像,国内无法访问,因此需要通过......

solate
22分钟前
7
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部