PostgreSQL 8.3.3문서
Prev	Fast Backward	Chapter 20. 클라이언트 인증	Fast Forward	Next

20.1. `pg_hba.conf`파일

클라이언트 인증은 전통적으로 데이터베이스 클러스터의 데이터 디렉토리 내의 pg_hba.conf라는 설정 파일로 관리되고 있습니다 (HBA란, host-based authentication: 호스트 베이스 인증의 약어입니다). 디폴트 pg_hba.conf파일은, 데이터 디렉토리가 initdb로 초기화될 때에 설치됩니다. 그러나, 이 인증 설정 파일을 다른 장소에 설치할 수 있습니다.hba_file 설정 파라미터를 참조해 주세요.

pg_hba.conf파일의 일반적인 서식은 1행에 대한 하나의 레코드 집합입니다. 비어있는 행은 코멘트 문자# 이후의 문자와 함께 무시되어집니다. 레코드는 스페이스나 탭 또는 그 모두로 분리되어진 복수의 필드로 구성되어 있습니다. 필드는 필드 값이 인용부호화될 경우 공백 문자를 포함할 수 있습니다. 레코드는 행을 또 있고 계속 나올 수 없습니다.

각각의 레코드는 접속 형식, (접속 형식에 대해서 의미를 가진다면) 클라이언트의 IP주소 범위, 데이터베이스의 이름, 유저명을 지정합니다. 그리고 인증 방법은 접속에서 이러한 파라미터와 일치시킴으로써 가능합니다. 접속 형식, 클라이언트 주소, 요구된 데이터베이스와 유저명에 일치하는 최초의 레코드는 인증 처리에 사용됩니다."실패시의 계속"이나 "백업"은 없습니다. 이것은 만약 하나의 레코드가 선택되어 인증에 실패했을 경우, 후속의 레코드는 고려되지 않는다고 하는 것입니다.어느 레코드도 일치하지 않을 때는 액세스가 거부됩니다.

레코드는 7개의 서식 가운데 하나의 형식을 취합니다.

local      
database
  
user
  
auth-method
  [

auth-option

]
host       
database
  
user
  
CIDR-address
  
auth-method
  [

auth-option

]
hostssl    
database
  
user
  
CIDR-address
  
auth-method
  [

auth-option

]
hostnossl  
database
  
user
  
CIDR-address
  
auth-method
  [

auth-option

]
host       
database
  
user
  
IP-address
  
IP-mask
  
auth-method
  [

auth-option

]
hostssl    
database
  
user
  
IP-address
  
IP-mask
  
auth-method
  [

auth-option

]
hostnossl  
database
  
user
  
IP-address
  
IP-mask
  
auth-method
  [

auth-option

]

필드의 의미는 이하와 같습니다.

local

이 레코드는 Unix 도메인 소켓을 사용하는 접속에 대응합니다. 이 종류의 레코드를 사용하지 않으면 Unix 도메인 소켓 경유의 접속은 거부됩니다.

host

이 레코드는 TCP/IP를 사용한 접속에 대응합니다. host레코드를 SSL나 SSL이 아닌 접속의 시도와 일치시킵니다.

Note: 서버의 디폴트의 동작은 로컬 loopback 주소인 localhost에서 TCP/IP접속을 감시하고 있습니다. 따라서 listen_addresses 설정 파라미터가 적절한 값으로 시작되지 않는 한, 원격 TCP/IP 접속은 할 수 없습니다.

hostssl

이 레코드는 접속이SSL로 암호화된 경우에만 TCP/IP 네트워크를 사용하는 접속에 대응합니다.

이 옵션을 사용하기 위해서 서버는SSL 지원 할 수 있도록구축되어 있지 않으면 안됩니다. 또, SSL는 ssl 설정 파라미터를 설정하여 서버 시작시에 사용할 수 있도록 되어야 합니다.(자세한 것은Section 16.7을 참조해 주세요).

hostnossl

이 레코드는 hostssl와 반대되는 로직으로 SSL를 사용하고 있지 않는 TCP/IP의 접속에만 대응합니다.

database

이 레코드로 대응하는 데이터베이스명을 지정합니다. all은 모든 데이터베이스와 일치되는 것을 지칭합니다. sameuser은 요구된 데이터베이스가 요청한 유저와 같은 이름을 가지는 경우에 레코드가 일치하는 것을 지칭합니다. samerole은 요청한 유저가 요구된 데이터베이스와 같은 이름의 롤의 멤버가 아니면 안된다는 것을 일컫습니다. (이전에는 samegroup라고 쓰였지만, samerole라고 기술해 주세요) 그 이외의 경우에는 특정한 PostgreSQL데이터베이스의 이름이 됩니다. 데이터베이스의 이름은 콤마로 단락지어서 복수로 지정할 수 있습니다. 데이터베이스명을 포함한 다른 파일을 파일명의 이전에 @사용하여 지정할 수 있습니다.

user

이 레코드로 대응하는 데이터베이스 유저를 지정합니다. all은 모든 유저가 일치하는 것을 나타냅니다. 그 이외의 경우에는 특정의 데이터베이스 유저명이나 +으로 시작되는 그룹명이 됩니다. (PostgreSQL에서는 유저와 그룹의 명확한 구별이 없다는 것을 상기해보십시요.) +의 마크는"는 이 롤이 직접적 혹은 간접적인 멤버의 어딘가에 일치하고 있는 것을 의미하고 있습니다. " + 마크가 없는 이름은 특정한 롤만 대응됩니다.) 다수의 유저 이름은 콤마를 사용하여 분리되어 사용됩니다. 유저명을 포함한 다른 파일은 파일명의 전에@를 붙임으로써 지정할 수 있습니다.

CIDR-address

이 레코드와 일치하는 클라이언트 머신의 IP주소의 범위를 지정합니다. 이것은 표준의 소수표기법(dotted decimal notation)의 IP주소와 CIDR 마스크의 길이를 포함하고 있습니다 (IP주소는 숫자로만 표기될 수 있으며, 도메인명이나 호스트명에서는 나타나지 않습니다). CIDR 마스크 길이란 반드시 일치해야 하는 클라이언트 IP주소의 고위 비트 수를 나타냅니다. 주어진 IP주소에서 오른쪽의 비트는 0이여야 합니다. IP주소와/그리고 CIDR 마스크 길이 사이에는 공백이 있어서는 안됩니다.

전형적인 CIDR-address의 예는 단일의 호스트에서는 172.20. 143.89/32, 소규모 네트워크에서는172.20. 143.0/24, 대규모 네트워크에서는10.6. 0.0/16과 같은 것입니다. 단일 호스트를 지정하려면 IPv4에서는 32의 CIDR 마스크를, IPv6에서는 128을 사용해 주세요. 네트워크 주소에서는 마지막의 0을 생략 할 수 없습니다.

IPv4 서식에서 주어진 IP주소는 상응하는 주소를 가지는 IPv6 접속에 대해서도 대응합니다. 예를 들면, 127.0. 0.1은 ::ffff:127. 0.0. 1 IPv6 주소에 대응합니다. IPv6 서식에서 주어진 항목은 주소가 IPv4-in-IPv6 범위 내에 있더라도 IPv6 접속에만 대응합니다. IPv6 서식 항목은 시스템의 C라이브러리가 IPv6 주소를 지원하지 않는 경우에는 거절된다는 것을 주의해 주세요.

이러한 필드는 host와 hostssl,hostnossl레코드에만 적용됩니다.

IP-address IP-mask

이 필드는 CIDR-address표기의 대체로서 사용 가능합니다. 마스크 길이를 명시하는 대신에, 실제 마스크를 분리한 열로 지정합니다. 예를 들면, 255.0. 0.0은 8의 IPv4 CIDR 마스크 길이를 의미하고, 255.255. 255.255는 32의 CIDR 마스크 길이를 의미하고 있습니다.

이 필드는host와 hostssl, 그리고hostnossl레코드에만 적용됩니다.

auth-method

이 레코드를 통해 접속할 때 사용하는 인증 방식을 지정합니다. 사용할 수 있는 선택사항은 이하에 정리되어 있지만, 자세한 사항은 Section 20.2을 참조해 주세요.

trust: 접속을 무조건적으로 허가합니다. 이 방식은 PostgreSQL데이터베이스 서버에 접속할 수 있는 모든 유저를 임의의PostgreSQL유저로서 패스워드 없이 로그인하는 것을 허락합니다. 자세한 것은 Section 20.2.1을 참조해 주세요.
reject: 접속을 무조건적으로 거부합니다. 그룹으로부터의 특정 호스트를 "제외"할 때 유용합니다.
md5: 클라이언트에 대해서 인증시에 MD5 암호화 패스워드를 요구합니다. 자세한 것은Section 20.2.2을 참조해 주세요.
crypt: Note: 이 옵션은 pre-7.2 클라이언트와 통신할 때만 추천됩니다.

클라이언트에 대해서 인증시에 crypt() 암호화 패스워드를 요구합니다. crypt보다 md5에게 추천됩니다. 자세한 것은Section 20.2.2을 참조해 주세요.
password: 클라이언트에 대해서 인증시에 암호화되지 않은 패스워드를 요구합니다. 패스워드는 네트워크를 통해서 보통 텍스트 형식에서 보내지기 때문에, 신뢰되지 않는 네트워크에서는 사용하지 말아 주세요. 또 많은 경우, thread된 클라이언트 어플리케이션에서는 동작하지 않습니다. 자세한 것은 Section 20.2.2을 참조해 주세요.
krb5: 유저를 인증하기 위해 Kerberos V5를 사용합니다. TCP/IP접속때만 유효합니다. 자세한 것은 Section 20.2.3을 참조해 주세요.
ident: 클라이언트의 operating system에 있어서의 유저명을(TCP/IP접속에서는 클라이언트상의 ident 서버에게 묻는 것으로, 로컬 접속에서는 operating system로부터) 취득하고, ident키워드 뒤에 지정된 맵을 조사하는 것으로, 유저가 요청한 데이터베이스의 유저로서 접속이 허가되는지를 검사합니다.
ldap: LDAP를 사용해 중앙 서버로 인증합니다. 자세한 것은Section 20.2.5을 참조해 주세요.
pam: operating system에 의해 제공되는 PAM(Pluggable Authentication Modules) 서비스를 사용한 인증입니다. 자세한 것은Section 20.2.6을 참조해 주세요.

auth-option

이 옵션 필드의 의미는 선택된 인증 방식에 따라서 다릅니다. 자세한 것은 이하로 설명합니다.

@를 포함하는 파일은 공백 문자나 콤마, 이 둘에 의해 분리되어 질수 있습니다. 코멘트는 pg_hba.conf와 같이 #로 시작됩니다. 또, 포함되는 @도 가능합니다. @을 따르는 파일명이 절대적인 경로가 아닌 한, 경로는 참조하는 파일을 포함하는 디렉토리와 연관된다고 봅니다.

pg_hba.conf 레코드는 접속이 시도될 때, 차례로 검사되기 때문에 레코드의 순서가 매우 중요합니다. 전형적으로 초반의 레코드는 어려운 접속 조합 파라미터와 느슨한 인증 방식을 가질 것에 비해, 이후의 레코드는 보다 느슨한 조합 파라미터와 보다 어려운 인증 방식을 가집니다. 예를 들면, 로컬 TCP 접속에서는 trust인증 방식을 사용하고자 하면, 리모트 TCP 접속에 대해서 패스워드를 요구 합니다. 이 경우, 광범위하게 허락되는 클라이언트의 IP주소에 대한 패스워드 인증을 지정하는 레코드 이전에 127.0. 0.1으로부터의 접속에 대한 trust인증을 지정하는 레코드가 있어야 합니다.

pg_hba.conf 파일은 설치시와 주서버 프로세스가 SIGHUP신호를 받았을 때에 읽힙니다. 실행 중인 시스템으로 파일을 편집했을 경우는, (pg_ctl reload나 kill -HUP를 사용해) 서버에 파일을 한번 더 읽어들이도록 신호를 보내야만 합니다.

Tip: 특정한 데이터베이스에 접속하기 위해서는 유저는pg_hba.conf 검사를 통과해야 하는 것 외에, 그 데이터베이스에 대한 CONNECT권한을 가지지 않으면 안됩니다. 데이터베이스에 대한 유저의 접속을 제한하고 싶을 경우, 보통은 pg_hba.conf항목에 규칙을 추가하는 것보다는 CONNECT권한을 부여·삭제하는 것이 더 간단합니다.

일부 pg_hba.conf항목의 예제는 Example 20-1에 나타냅니다. 각종 인증 방식의 상세한 것에 대하여는 그 후에 설명합니다.

Example 20-1. pg_hba.conf의 항목의 예

# 로컬 시스템상의 모든 유저가 임의의 데이터베이스에
# 임의의 데이터베이스 유저명으로 Unix 도메인 소켓을 사용해 접속하는 것을 허가
# (로컬 접속에서는 디폴트).
#
# TYPE DATABASE USER CIDR-ADDRESS METHOD
local all all trust

# 로컬 loopback의 TCP/IP 접속을 사용하는 것은 위와 같다.
#
# TYPE DATABASE USER CIDR-ADDRESS METHOD
host all all 127.0.0.1/32 trust

# 분리된 netmask 열을 사용하고 있는 것을 제외하고 위와 같다.
#
# TYPE DATABASE USER IP-ADDRESS IP-MASK METHOD
host all all 127.0.0.1 255.255.255.255 trust

# IP주소 192.168. 93. x를 가지는 모든 호스트의 모든 유저가,
# ident가 그 접속에 대해 보고하는 것과 같은 유저명(전형적으로는 Unix 유저명)으로
# 데이터베이스 "postgres"에 접속하는 것을 허가.
#
# TYPE DATABASE USER CIDR-ADDRESS METHOD
host postgres all 192.168.93.0/24 ident sameuser

# 유저의 패스워드가 올바르게 입력되었을 경우,
# 호스트 192.168. 12.10부터의 유저가 데이터베이스 "postgres"에 접속하는 것을 허가.
#
# TYPE DATABASE USER CIDR-ADDRESS METHOD
host postgres all 192.168.12.10/32 md5

# 선행하는 "host"행이 없으면, 이 2행에 의해 192.168. 54.1으로 접속 시도는
# 모두 거부(이 항목이 최초로 일치되기 때문에).
# 다만, 인터넷상의 다른 모든 장소로부터의 Kerberos 5 접속은 허가.
# 제로 마스크는, 호스트 IP주소의 비트를 고려하지 않고
# 어느 호스트라도 조합할 수 있는 것을 의미합니다.
#
# TYPE DATABASE USER CIDR-ADDRESS METHOD
host all all 192.168.54.1/32 reject
host all all 0.0.0.0/0 krb5

# 192.168. x.x 호스트로부터의 유저가, ident 검사를 통과하는 경우,
# 어느 데이터베이스라도 접속을 허가. 만약, 예를 들면, ident가 "bryanh"라고 인정해
# "bryanh"가 PostgreSQL의 유저 "guest1"로서
# 접속 요구를 내는 경우, "bryanh"는 "guest1"로 접속이 허가된다고 합니다
# 맵 "omicron"에 대한 기재사항이 pg_ident.conf에 있으면 접속을 허가.
#
# TYPE DATABASE USER CIDR-ADDRESS METHOD
host all all 192.168.0.0/16 ident omicron

# 로컬 접속에 대해서, 이하의 단 3행 밖에 기재가 없는 경우, 로컬 유저는
# 자신의 데이터베이스(데이터베이스 유저명과 같은 이름의 데이터베이스)에게만 접속 허가.
# 다만 관리자와 롤 "support"의 멤버는 모든 데이터베이스에 접속 가능.
# $PGDATA/admins 파일은 관리자의 리스트를 포함한다.
# 모든 경우에 패스워드가 필요.
#
# TYPE DATABASE USER CIDR-ADDRESS METHOD
local sameuser all md5
local all @admins md5
local all +support md5

# 위의 마지막 2행은 1개의 행으로 정리하는 것이 가능.
local all @admins,+support md5

# 데이터베이스의 열에는 리스트나 파일명도 사용할 수 있지만, 그룹은 사용할 수 없다.
local db1,db2,@demodbs all md5

20.1. pg_hba.conf파일

20.1. `pg_hba.conf`파일