PostgreSQLのクライアント認証と暗号化の設定方法：使えば分かるPostgreSQL運用＆チューニング（3）（1/3 ページ）

本連載第1回で導入したPostgreSQLに対してクライアント認証の設定をします。運用形態によっては、クライアントアプリケーションとPostgreSQL間の通信を暗号化する必要がありますので、それについても併せて紹介します

[北川俊広，SRA OSS, Inc.]

クライアント認証に必要な作業

　PostgreSQLは、クライアント認証に関する設定をpg_hba.confファイルで管理しています。hbaとは、host-based authenticationの略です。pg_hba.confファイルは、通常、データベースクラスタのディレクトリにあります。

pg_hba.confの内容

>>> 本連載の前提環境

データベース：PostgreSQL 8.3.1
OS：CentOS 5（Linux kernel 2.6 ）
シェル：bash
CPU：Intel Xeon 3060 2.40GHz
HDD：73.4GBytes／15,000rpm／SAS 16MBytes
RAM：PC2-5300 8GBytes

　では、実際にpg_hba.confの内容を見ていきましょう。

　#で始まる行はコメントですから実行時は無視されます。このコメントには認証設定の書き方や、pg_hba.confファイルの設定の反映方法が書かれています。

# TYPE DATABASE USER CIDR-ADDRESS METHOD
# "local" is for Unix domain socket connections only
  local all all trust
# IPv4 local connections:
  host all all 127.0.0.1/32 trust
# IPv6 local connections:
  host all all ::1/128 trust

　認証の設定は上記のように1行単位で次の項目を記述します。

• 接続形式
• データベース名
• ユーザー名
• IPアドレスの範囲
• 認証方法

　認証の設定は上から1行ずつ順番に判定され、最初に一致した行が認証処理に使用されます。そして、どれも一致しない場合はアクセスが拒否されます。

　また、pg_hba.confファイルを編集したときは、pg_ctl reloadあるいはkill -HUPを実行することにより、PostgreSQLを再起動せずに変更を反映することができます。