• PostgreSQL 14的SCRAM身份验证


    升级到PostgreSQL14之后,会遇到以下错误:

    FATAL:  password authentication failed for a user
    FATAL: Connection to database failed: connection to server at “localhost” (::1), port 5432 failed: fe_sendauth: no password supplied

    报这些错误的原因是,PostgreSQL修改了默认的密码加密算法,在新版本中改成了SCRAM验证方式。

    SCRAM其实并不是PostgreSQL中的新东西,在版本10中就有了,只是在之前的版本中只是可选的设置,而不是默认设置。PostgreSQL社区多年来一直不愿将其作为主要方法,因为许多客户端/应用程序库还没有准备好进行 SCRAM身份验证。

    但在PostgreSQL 14中正在发生变化。随着PostgreSQL 9.6不再支持,情况正在发生变化。现在希望所有旧的客户端库都得到升级,SCRAM 身份验证正在成为主要的密码身份验证方法。但是,那些完全不知道的人总有一天会收到惊喜。 这篇文章的目的是让那些尚未了解的人快速了解并解决一些常见问题。

    PostgreSQLv14虽然是默认改成了SCRAM验证方式。但是仍然可以使用以前的验证方式。

    SCRAM身份验证

    身份验证只是安全通信的一部分。身份验证后,中间的恶意服务器可能会接管并欺骗客户端连接。PostgreSQL 11 引入了支持通道绑定的 SCRAM-SHA-256-PLUS。这是为了确保没有恶意服务器充当真实服务器或进行中间人攻击。

    从PostgreSQL 13开始,客户端可以通过通道绑定(channel binding)发起请求。

    例如:

    psql -U postgres -h c76pri channel_binding=prefer
    or
    psql -U postgres -h c76pri channel_binding=require

    通道绑定(channel binding)必须要开启SSL/TLS配置。

    设置密码加密

    md5是PostgreSQL 10之前唯一可用的密码加密选项,默认为md5。

    –Upto PG 13
    postgres=# set password_encryption TO ON;
    SET

    on也可以替换成:true、1、yes。

    该语句的作用和下面的等效:

    postgres=# set password_encryption TO MD5;
    SET

     

    现在我们有了多种密码加密算法,从PostgreSQL14开始,就要指定加密算法了:

    postgres=# set password_encryption TO 'scram-sha-256';
    SET
    postgres=# set password_encryption TO 'md5';
    SET

     

    如果再尝试使用:on、true、yes。就会报错了:

    –-From PG 14
    postgres=# set password_encryption TO 'on';
    ERROR:  invalid value for parameter "password_encryption": "on"
    HINT:  Available values: md5, scram-sha-256.

    常被提出的问题

    1.逻辑备份和还原是否受影响

    PostgreSQL的逻辑备份和恢复不会影响SCRAM身份验证,恢复后相同的密码可以工作。

    如果我们重命名USER,旧的MD5密码将不再起作用,因为PostgreSQL生成MD5 的方式也使用到用户名。

    postgres=# ALTER USER jobin1 RENAME TO jobin;
    NOTICE: MD5 password cleared because of role rename
    ALTER ROLE

    可以看到,pg_authid中的密码哈希值会被清空,因为老的不再有效。

    但是,SCRAM验证就不会出现上面的问题:

    postgres=# ALTER USER jobin RENAME TO jobin1;
    ALTER ROLE

     

     

  • 相关阅读:
    ActiveMQ中JMS的可靠性机制
    ActiveMQ中Broker的应用与启动方式
    ActiveMQ支持的传输协议
    ActiveMQ常见消息类型
    Oracle体系结构及备份(十六)——bg-ckpt
    PHP自学之路---雇员管理系统(1)
    UVa11187
    给Android组件添加事件一个很好用的方法
    【项目那些事儿】项目哪些事儿?
    struts2对拦截器使用带实例
  • 原文地址:https://www.cnblogs.com/abclife/p/15865504.html
Copyright © 2020-2023  润新知