Dela via

SCRAM-autentisering i Azure Database for PostgreSQL

Salted Challenge Response Authentication Mechanism (SCRAM) är ett lösenordsbaserat protokoll för ömsesidig autentisering. Det är ett system för utmaningshantering som lägger till flera säkerhetsnivåer och förhindrar lösenordssniffning på ej betrodda anslutningar. SCRAM stöder lagring av lösenord på servern i ett kryptografiskt hashat formulär, vilket ger avancerad säkerhet.

Anmärkning

För att få åtkomst till en flexibel Azure Database for PostgreSQL-serverinstans med hjälp av SCRAM-autentiseringsmetoden måste klientbiblioteken ha stöd för SCRAM. Se listan över drivrutiner som stöder SCRAM.

SCRAM-autentisering medför extra beräkningsbelastning på dina programservrar, som behöver beräkna klientbeviset för varje autentisering. SCRAM:s prestandakostnader kan minskas genom att begränsa antalet anslutningar i programmets anslutningspool (minska chattigheten i ditt program) eller begränsa antalet samtidiga transaktioner som klienten tillåter (större transaktioner). Vi rekommenderar att du testar dina arbetsbelastningar innan du migrerar till SCRAM-autentisering.

Konfigurera SCRAM-autentisering

  1. Ändra password_encryption till SCRAM-SHA-256. För närvarande stöder Azure Database for PostgreSQL endast SCRAM med SHA-256.

    Skärmbild av krypteringssidan för SCRAM.

  2. Tillåt SCRAM-SHA-256 som autentiseringsmetod.

    Skärmbild av autentisering som nåtts av SCRAM.

    Viktigt!

    Du kan välja att endast tillämpa SCRAM-autentisering genom att bara välja SCRAM-SHA-256-metoden. På så sätt kan användare med MD5-autentisering längre ansluta till servern. Innan du tillämpar SCRAM måste du därför ha både MD5 och SCRAM-SHA-256 som autentiseringsmetoder tills du uppdaterar alla användarlösenord till SCRAM-SHA-256. Du kan verifiera autentiseringstypen för användare med hjälp av frågan som nämns i steg 7.

  3. Spara ändringarna. Det här är dynamiska egenskaper och kräver inte omstart av servern.

  4. Från azure database for PostgreSQL–klienten för flexibel server ansluter du till den flexibla serverinstansen Azure Database for PostgreSQL. Ett exempel:

    psql "host=myPGServer.postgres.database.azure.com port=5432 dbname=postgres user=myDemoUser password=<password> sslmode=require"

psql (12.3 (Ubuntu 12.3-1.pgdg18.04+1), server 12.6)
SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, bits: 256, compression: off)
Type "help" for help.

  5. Verifiera lösenordskryptering.

    postgres=> show password_encryption;
   password_encryption
---------------------
scram-sha-256
(1 row)

  6. Du kan sedan uppdatera lösenordet för användare.

    postgres=> \password myDemoUser
Enter new password:
Enter it again:
postgres=>

  7. Du kan verifiera användarautentiseringstyper med hjälp av azure_roles_authtype() funktionen.

    postgres=> SELECT * from azure_roles_authtype();
         rolename          | authtype
---------------------------+-----------
azuresu                   | NOLOGIN
pg_monitor                | NOLOGIN
pg_read_all_settings      | NOLOGIN
pg_read_all_stats         | NOLOGIN
pg_stat_scan_tables       | NOLOGIN
pg_read_server_files      | NOLOGIN
pg_write_server_files     | NOLOGIN
pg_execute_server_program | NOLOGIN
pg_signal_backend         | NOLOGIN
replication               | NOLOGIN
myDemoUser                | SCRAM-256
azure_pg_admin            | NOLOGIN
srtest                    | SCRAM-256
sr_md5                    | MD5
(14 rows)

  8. Du kan sedan ansluta från klienten som stöder SCRAM-autentisering till servern.

    SCRAM-autentisering stöds också när den är ansluten till den inbyggda hanterade PgBouncer.

Relaterat innehåll