Сценарий: Аутентификация PostgreSQL Server

Развернуть все | Свернуть все

Рекомендуется использовать TLS-сертификат для аутентификации сервера PostgreSQL. Вы можете использовать сертификат доверенного центра сертификации (CA) или самоподписанный сертификат. Рекомендуется использовать сертификат доверенного центра сертификации (CA), так как самоподписанный сертификат обеспечивает лишь ограниченную защиту.

Сервер администрирования поддерживает как одностороннюю, так и двустороннюю SSL-аутентификацию для PostgreSQL.

Выполните следующие шаги, чтобы настроить SSL-аутентификацию для PostgreSQL:

1. Сгенерируйте сертификат для сервера PostgreSQL.

   Выполните следующие команды:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Сгенерируйте сертификат для Сервера администрирования.

   Выполните следующие команды. Значение CN должно соответствовать имени пользователя, который подключается к PostgreSQL от имени Сервера администрирования. По умолчанию имя пользователя – postgres.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Настройте аутентификацию клиентского сертификата.

   Измените pg_hba.conf следующим образом:

   hostssl all all 0.0.0.0/0 md5

   Убедитесь, что в pg_hba.conf нет записи, начинающейся с host.

4. Укажите сертификат PostgreSQL.

   Односторонняя SSL-аутентификация

   Измените postgresql.conf следующим образом (укажите правильный путь к файлам .crt и .key):

   listen_addresses ='*'

   ssl = on

   ssl_cert_file = 'psql.crt'

   ssl_key_file = 'psql.key'

   Двусторонняя SSL-аутентификация

   Измените postgresql.conf следующим образом (укажите правильный путь к файлам .crt и .key):

   listen_addresses ='*'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Перезапустите демон PostgreSQL.

   Выполните следующую команду:

   systemctl restart postgresql-14.service

6. Укажите флаг сервера для Сервера администрирования.

   Односторонняя SSL-аутентификация

   Перейдите в директорию ServerFlags и создайте файл, соответствующий флагу сервера KLSRV_POSTGRES_OPT_SSL_CA:

   cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

   mkfile KLSRV_POSTGRES_OPT_SSL_CA

   В созданном файле укажите путь к файлу psql.crt.

   Двусторонняя SSL-аутентификация

   Перейдите в директорию ServerFlags и создайте файлы, соответствующие флагам сервера:

   cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

   mkfile KLSRV_POSTGRES_OPT_SSL_CA

   mkfile KLSRV_POSTGRES_OPT_SSL_CERT

   mkfile KLSRV_POSTGRES_OPT_SSL_KEY

   Изменить созданные файлы следующим образом:

   • KLSRV_POSTGRES_OPT_SSL_CA: укажите путь к файлу psql.crt.
   • KLSRV_POSTGRES_OPT_SSL_CERT: укажите путь к файлу postgres.crt.
   • KLSRV_POSTGRES_OPT_SSL_KEY: укажите путь к файлу postgres.key.

   Если для postgres.key требуется кодовая фраза, создайте файл KLSRV_POSTGRES_OPT_TLS_PASPHRASE в папке ServerFlags и укажите в нем кодовую фразу.

7. Перезапустите службу Сервера администрирования.