20.2. 用户名映射
当使用像 Ident 或者 GSSAPI 之类的外部认证系统时,发起连接的操作系统用户名可能不同于要被使用的数据库用户(角色)。在这种情况下,一个用户名映射可被用来把操作系统用户名映射到数据库用户。要使用用户名映射,在pg_hba.conf
的选项域指定map
=map-name
。此选项支持所有接收外部用户名的认证方法。由于不同的连接可能需要不同的映射,在pg_hba.conf
中的map-name
参数中指定要被使用的映射名,用以指示哪个映射用于每个个体连接。
用户名映射定义在 ident 映射文件中,默认情况下它被命名为pg_ident.conf
并被存储在集簇的数据目录中(不过,可以把该映射文件放在其他地方,见ident_file配置参数)。ident 映射文件包含的行的一般格式:
map-name
system-username
database-username
以在pg_hba.conf
中同样的方式处理注释和空白。map-name
是一个任意名称,它将被用于在pg_hba.conf
中引用该映射。其他两个域指定一个操作系统用户名和一个匹配的数据库用户名。相同的map-name
可以被反复地用在同一个映射中指定多个用户映射。
对于一个给定操作系统用户可以对应多少个数据库用户没有限制,反之亦然。因此,一个映射中的项应该被看成意味着“这个操作系统用户被允许作为这个数据库用户连接”,而不是按时它们等价。如果有任何映射项把从外部认证系统获得的用户名和用户要求的数据库用户名配对,该连接将被允许。
如果system-username
域以一个斜线(/
)开始,域的剩余部分被当做一个正则表达式(PostgreSQL的正则表达式语法详见第 9.7.3.1 节)。正则表达式可以包括一个单一的捕获,或圆括号子表达式,然后它可以在database-username
域中以\1
(反斜线一)被引用。这允许在单个行中多个用户名的映射,这特别有助于简单的语法替换。例如,这些项
mymap /^(.*)@mydomain\.com$ \1 mymap /^(.*)@otherdomain\.com$ guest
将为用户移除以@mydomain.com
结束的系统用户名的域部分,以及允许系统名以@otherdomain.com
结束的任意用户作为guest
登入。
提示
记住在默认情况下,一个正则表达式可以只匹配字符串的一部分。如上例所示,使用^
和$
来强制匹配整个系统用户名通常是明智的。
在启动以及主服务器进程收到SIGHUP信号时,pg_ident.conf
文件会被读取。
如果你在活动的系统上编辑了该文件,你将需要通知 postmaster(使用pg_ctl reload
,调用SQL函数pg_reload_conf()
, 或用kill -HUP
)重新读取文件。
例 20.2中展示了一个可以联合pg_hba.conf
文件(例 20.1)使用的pg_ident.conf
文件。在这个例子中,对于任何登入到 192.168 网络上的一台机器的用户, 如果该用户没有操作系统用户名bryanh
、ann
或robert
,则他不会被授予访问权限。只有当 Unix 用户robert
尝试作为PostgreSQL用户bob
(而不是作为robert
或其他人)连接时,他才被允许访问。ann
只被允许作为ann
连接。用户bryanh
被允许以bryanh
或者guest1
连接。
例 20.2. 一个示例 pg_ident.conf
文件
# MAPNAME SYSTEM-USERNAME PG-USERNAME omicron bryanh bryanh omicron ann ann # bob 在这些机器上有用户名 robert omicron robert bob # bryanh 也可以作为 guest1 连接 omicron bryanh guest1