客户端认证核心参数
1.pg_hba.conf 参数文件定义了允许哪些主机以什么样的方式连接到哪些数据库。主要参数如表1.1所示:
| 名称 | 概述 |
|---|---|
| type | 连接类型,如 host(通过 TCP/IP 连接)、local(Unix 域套接字)、hostssl(仅通过 SSL 连接的 TCP/IP 连接)、hostnossl(非 SSL 的 TCP/IP 连接)。 |
| database | 目标数据库名称,可以是 all(所有数据库)、具体数据库名或多个数据库名。 |
| user | 用户名,可以是 all(所有用户)、具体用户名或多个用户名。 |
| auth_method | 认证方法(如 trust、password、md5、scram-sha-256、peer、cert)。 |
| auth_option | 认证选项(如 SSL 客户端证书要求)。 |
| address | 客户端 IP 地址或地址范围 |
核心结构体
- Port 结构体,位于 src/include/libpq/be.h,保存客户端连接的信息。
typedef struct Port{pgsocket sock; /*网络文件描述符,表示连接的套接字。 */bool noblock; /*套接字是否处于非阻塞模式。 */ProtocolVersion proto; /* 使用的协议版本,指示前端和后端的协议版本。 */SockAddr laddr; /* 本地地址,即服务器端的地址。 */SockAddr raddr; /* 远程地址,即客户端的地址。 */char *remote_host; /* 远程主机的名称或 IP 地址的文本表示。 */char *remote_hostname; /*远程主机的主机名(如果可用) */int remote_hostname_resolv; /* 远程主机名解析状态,可能包含解析的结果或状态码。*/int remote_hostname_errcode; /* 远程主机名解析错误码,指示解析失败的原因。*/char *remote_port; /* 远程端口的文本表示。 */CAC_state canAcceptConnections; /* 表示后端是否能接受连接的状态。 */char *database_name; /*数据库名称,客户端请求连接的数据库。*/char *user_name; /*用户名,客户端用来连接数据库的用户。*/char *cmdline_options; /*命令行选项,启动连接时的额外参数。*/List *guc_options; /*选项列表,用于配置的全局设置。*/char *application_name; /*应用程序名称,客户端提供的应用名称。*/HbaLine *hba; /*配置行,用于验证客户端的连接。*/const char *authn_id; /*身份验证标识符,用于跟踪身份验证状态。*/int default_keepalives_idle; /*默认的 TCP 保活空闲时间。*/int default_keepalives_interval; /*默认的 TCP 保活间隔时间。*/int default_keepalives_count; /*默认的 TCP 保活重试次数。*/int default_tcp_user_timeout; /*默认的 TCP 用户超时时间。*/int keepalives_idle; /*当前设置的 TCP 保活空闲时间。*/int keepalives_interval; /*当前设置的 TCP 保活间隔时间。*/int keepalives_count; /*当前设置的 TCP 保活重试次数。*/int tcp_user_timeout; /*当前设置的 TCP 用户超时时间。*/#if defined(ENABLE_GSS) || defined(ENABLE_SSPI) pg_gssinfo *gss;#elsevoid *gss;#endifbool ssl_in_use; /*表示是否使用了 SSL(安全套接字层)加密。*/char *peer_cn; /*对等方的证书主题名(Common Name)。*/char *peer_dn; /*对等方的证书主体名(Distinguished Name)。*/bool peer_cert_valid; /*对等方证书是否有效。*/#ifdef USE_OPENSSL SSL *ssl;X509 *peer;#endif} Port;- HbaLine 结构体用于描述 PostgreSQL 的主机基于认证(HBA)配置中的一行。HBA 配置用于定义客户端如何连接到数据库以及如何进行身份验证。
typedef struct HbaLine
{int linenumber; /*配置文件中该行的行号。*/char *rawline; /*原始的配置行文本,以字符串形式保存。*/ConnType conntype; /*连接类型,例如本地连接、TCP/IP 连接等。*/List *databases; /*允许连接的数据库列表。如果为空,表示允许连接到所有数据库。*/List *roles; /* 允许连接的角色(用户)列表。如果为空,表示允许所有角色连接。*/struct sockaddr_storage addr; /*客户端 IP 地址,用于允许连接的来源地址。*/int addrlen; /*字段的有效长度,如果没有有效地址,则为零。 */struct sockaddr_storage mask; /*网络掩码,用于地址匹配。*/int masklen; /*字段的有效长度,如果没有有效掩码,则为零。 */IPCompareMethod ip_cmp_method; /*IP 地址比较方法,指示如何处理地址匹配(例如精确匹配或子网匹配)。*/char *hostname; /*允许连接的主机名。*/UserAuth auth_method; /*认证方法,例如密码、Kerberos、LDAP 等。*/char *usermap; /*用户映射规则,用于将数据库用户映射到系统用户。*/char *pamservice; /*服务名称,如果使用 PAM 进行身份验证。*/bool pam_use_hostname; /*如果为 true,则 PAM 身份验证使用主机名进行匹配。*/bool ldaptls; /*如果为 true,则启用 LDAP 传输层安全(TLS)。*/char *ldapscheme; /*连接的协议方案(例如 ldap、ldaps)。*/char *ldapserver; /*LDAP 服务器的地址。*/int ldapport; /*LDAP 服务器的端口。*/char *ldapbinddn; /*LDAP 绑定 DN(Distinguished Name),用于与 LDAP 服务器进行绑定的凭据。*/char *ldapbindpasswd; /*LDAP 绑定密码,用于绑定的凭据。*/char *ldapsearchattribute; /*LDAP 搜索属性,用于匹配用户。*/char *ldapsearchfilter; /*LDAP 搜索过滤器,用于过滤用户。*/char *ldapbasedn; /*LDAP 基础 DN,用于搜索的起始点。*/int ldapscope; /*LDAP 搜索范围,例如 base、onelevel 或 sub。*/char *ldapprefix; /*LDAP 用户名前缀,用于拼接 LDAP 绑定 DN。*/char *ldapsuffix; /*LDAP 用户名后缀,用于拼接 LDAP 绑定 DN。*/ClientCertMode clientcert; /*客户端证书模式,定义客户端证书的验证方式。*/ClientCertName clientcertname; /*客户端证书名称,用于匹配客户端证书。*/char *krb_realm; /*Kerberos 领域名称,用于 Kerberos 认证。*/bool include_realm; /*如果为 true,则包括领域名称进行匹配。*/bool compat_realm; /*如果为 true,则启用领域名称兼容模式。*/bool upn_username; /*如果为 true,则支持 UPN(User Principal Name)用户名格式。*/List *radiusservers; /*RADIUS 服务器列表,用于 RADIUS 认证。*/char *radiusservers_s; /*RADIUS 服务器的文本表示。*/List *radiussecrets; /*RADIUS 密码列表,用于与 RADIUS 服务器通信的密码。*/char *radiussecrets_s; /*RADIUS 密码的文本表示。*/List *radiusidentifiers; /*RADIUS 标识符列表,用于识别 RADIUS 服务器。*/char *radiusidentifiers_s; /*RADIUS 标识符的文本表示。*/List *radiusports; /*端口列表,用于 RADIUS 服务器的端口配置。*/char *radiusports_s; /*RADIUS 端口的文本表示。*/
} HbaLine;
客户端认证核心函数栈
- PostmasterMain:实例的入口函数,负责初始化并启动数据库服务器。主要步骤包含:
(1)初始化共享内存和信号处理。
(2)解析命令行参数和配置文件。
(3)创建各种子进程(如后台写进程、检查点进程等)。
(4)进入主循环(ServerLoop)。 - ServerLoop:处理来自客户端的连接请求并创建相应的后端进程。主要步骤包含:
(1)监听新连接请求。
(2)在接收到新连接时,创建后端进程处理该连接。 - BackendStartup启动新的后端进程以处理客户端连接。主要步骤包含:
(1)初始化后端进程环境。
(2)进行用户身份验证(调用 ClientAuthentication)。
(3)初始化会话和用户 ID(调用 Initpostgre)。 - Initpostgre:初始化后端进程的基本环境,包括设置用户和数据库等。主要步骤包含:
(1)初始化内存上下文。
(2)设置会话用户和数据库。
(3)加载系统配置。 - ClientAuthentication:处理客户端的认证请求。
(1)读取 pg_hba.conf 文件,加载认证规则(调用 load_hba)。
(2)选择适当的认证方法并进行认证(调用 PerformAuthentication)。 - CheckPasswordAuth:处理 MD5 密码认证。
(1)验证客户端提供的密码。
(2)返回认证结果。
核心函数栈如下:
PostmasterMain+--> ServerLoop+--> BackendStartup+--> Initpostgres| +--> InitializeSessionUserId+--> ClientAuthentication+--> load_hba+--> CheckPasswordAuth+--> CheckSCRAMAuth
客户端认证核心参数代码框架
