Настройка аутентификации Postgres на KSCL 16.2

26 мая

День добрый.

Обращаюсь к тем у кого KSCL 16 и выше.

Помогите настроить аутентификацию с postgres. Пытаюсь выполнить как описано на https://support.kaspersky.ru/ksc-linux/16.2/257050.

В процессе развертывания на Postgres были созданы 2 базы: kscdb и ksciam. Владельцем kscdb назначил kavdb, а ksciam - kaviam.

Что я не делал, но при выводе логов postgres появляется ошибка:

FATAL: no pg_hba.conf entry for host "127.0.0.1", user "kaviam", database "ksciam", no encryption

Может кто сталкивался?

26 мая

Добрый день.

Собственно в ошибке все написано.

В файле pg_hba.conf нет соответствующей записи.

Должна быть прописана подобная строчка:

host ksciam kaviam 127.0.0.1/32 trust

27 мая

День добрый.

На странице написано https://support.kaspersky.ru/ksc-linux/16.2/257050, что в файле pg_hba.conf

не должно быть записей начинающейся с host. Все записи должны быть иметь вид hostssl.

hostssl ksciam kaviam 127.0.0.1/32 scram-sha-256

Но только я так все делаю, то начинают валятся ошибки: FATAL: no pg_hba.conf entry for host "127.0.0.1", user "kaviam", database "ksciam", no encryption.

27 мая

38 минут назад, SergeyOW сказал:

не должно быть записей начинающейся с host

это если у вас вход по сертификату.

27 мая

2 часа назад, SergeyOW сказал:

Но только я так все делаю, то начинают валятся ошибки: FATAL: no pg_hba.conf entry for host "127.0.0.1", user "kaviam", database "ksciam", no encryption.

А само шифрование на уровне СУБД то включали? Если СУБД и KSCL на одном сервере, то вообще смысла от подобных манипуляций особо нет. Сертификаты лучше использовать свои от службы PKI, а не самоподписанные.

27 мая

36 минут назад, mike 1 сказал:

А само шифрование на уровне СУБД то включали? Если СУБД и KSCL на одном сервере, то вообще смысла от подобных манипуляций особо нет. Сертификаты лучше использовать свои от службы PKI, а не самоподписанные.

Конечно включал. Доступ к kscdb по ssl прекрасно работает. И работает на самоподписанных сертах. В настоящее время тестирую решение от ЛК. Далее будет KSCL и БД на отдельных машинах. Но в настройках постгри можно прописать только один сертификат, прописал серт к kscdb. Единственное, до чего додумался в текущей ситуации это базы данных (kscdb и ksciam) развести на разные инстансы.

27 мая

21 минуту назад, SergeyOW сказал:

Конечно включал.

Так вы попробуйте прописать host ...

Если заработает, значит будете разбираться что у вас не то с сертификатами.

Если не заработает, то опять же будет информация к размышлению.

27 мая

С хостом работает

27 мая

Значит у вас неправильно настроена авторизация по сертификату.

Если она вообще у вас настроена.

Суббота в 14:21

В 27.05.2026 в 15:22, SergeyOW сказал:

Но в настройках постгри можно прописать только один сертификат, прописал серт к kscdb

А у PostgreSQL достаточно прав чтобы прочитать пару открытый/закрытый ключ?

В 27.05.2026 в 15:22, SergeyOW сказал:

Но в настройках постгри можно прописать только один сертификат

Правильно. А еще желательно чтобы в сертификате совпадал SAN и CN. А если делать совсем правильно, то нужно отказываться от самоподписанных сертификатов. При большом желании ваш самоподписанный сертификат не спасет и потенциально можно провести атаку человек по середине, но от этого спасет нормальный сертификат, который выпущен через корпоративную PKI службу. По хорошему вам еще на вебке нужно менять сертификат.

Настройка аутентификации Postgres на KSCL 16.2

Рекомендуемые сообщения

SergeyOW

andrew75

SergeyOW

andrew75

mike 1

SergeyOW

andrew75

SergeyOW

andrew75

mike 1

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum