目錄 搜尋
前言 何为PostgreSQL? PostgreSQL简史 格式约定 更多信息 臭虫汇报指导 I. 教程 章1. 从头开始 1.1. 安装 1.2. 体系基本概念 1.3. 创建一个数据库 1.4. 访问数据库 章2. SQL语言 2.1. 介绍 2.2. 概念 2.3. 创建新表 2.4. 向表中添加行 2.5. 查询一个表 2.6. 表间链接 2.7. 聚集函数 2.8. 更新 2.9. 删除 章3. 高级特性 3.1. 介绍 3.2. 视图 3.3. 外键 3.4. 事务 3.5. 窗口函数 3.6. 继承 3.7. 结论 II. SQL语言 章4. SQL语法 4.1. 词法结构 4.2. 值表达式 4.3. 调用函数 章5. 数据定义 5.1. 表的基本概念 5.2. 缺省值 5.3. 约束 5.4. 系统字段 5.5. 修改表 5.6. 权限 5.7. 模式 5.8. 继承 5.9. 分区 5.10. 其它数据库对象 5.11. 依赖性跟踪 章 6. 数据操作 6.1. 插入数据 6.2. 更新数据 6.3. 删除数据 章7. 查询 7.1. 概述 7.2. 表表达式 7.3. 选择列表 7.4. 组合查询 7.5. 行排序 7.6. LIMIT和OFFSET 7.7. VALUES列表 7.8. WITH的查询(公用表表达式) 章8. 数据类型 8.1. 数值类型 8.2. 货币类型 8.3. 字符类型 8.4. 二进制数据类型 8.5. 日期/时间类型 8.6. 布尔类型 8.7. 枚举类型 8.8. 几何类型 8.9. 网络地址类型 8.10. 位串类型 8.11. 文本搜索类型 8.12. UUID类型 8.13. XML类型 8.14. 数组 8.15. 复合类型 8.16. 对象标识符类型 8.17. 伪类型 章 9. 函数和操作符 9.1. 逻辑操作符 9.2. 比较操作符 9.3. 数学函数和操作符 9.4. 字符串函数和操作符 9.5. 二进制字符串函数和操作符 9.6. 位串函数和操作符 9.7. 模式匹配 9.8. 数据类型格式化函数 9.9. 时间/日期函数和操作符 9.10. 支持枚举函数 9.11. 几何函数和操作符 9.12. 网络地址函数和操作符 9.13. 文本检索函数和操作符 9.14. XML函数 9.15. 序列操作函数 9.16. 条件表达式 9.17. 数组函数和操作符 9.18. 聚合函数 9.19. 窗口函数 9.20. 子查询表达式 9.21. 行和数组比较 9.22. 返回集合的函数 9.23. 系统信息函数 9.24. 系统管理函数 9.25. 触发器函数 章10. 类型转换 10.3. 函数 10.2. 操作符 10.1. 概述 10.4. 值存储 10.5. UNION 章11. 索引 11.1. 介绍 11.2. 索引类型 11.3. 多字段索引 11.4. 索引和ORDER BY 11.5. 组合多个索引 11.6. 唯一索引 11.7. 表达式上的索引 11.8. 部分索引 11.9. 操作类和操作簇 11.10. 检查索引的使用 章12. Full Text Search 12.1. Introduction 12.2. Tables and Indexes 12.3. Controlling Text Search 12.4. Additional Features 12.5. Parsers 12.6. Dictionaries 12.7. Configuration Example 12.8. Testing and Debugging Text Search 12.9. GiST and GIN Index Types 12.10. psql Support 12.11. Limitations 12.12. Migration from Pre-8.3 Text Search 章13. 并发控制 13.1. 介绍 13.2. 事务隔离 13.3. 明确锁定 13.4. 应用层数据完整性检查 13.5. 锁和索引 章14. 性能提升技巧 14.1. 使用EXPLAIN 14.2. 规划器使用的统计信息 14.3. 用明确的JOIN语句控制规划器 14.4. 向数据库中添加记录 14.5. 非持久性设置 III. 服务器管理 章15. 安装指导 15.1. 简版 15.2. 要求 15.3. 获取源码 15.4. 升级 15.5. 安装过程 15.6. 安装后的设置 15.7. 支持的平台 15.8. 特殊平台的要求 章16. Installation from Source Code on Windows 16.1. Building with Visual C++ or the Platform SDK 16.2. Building libpq with Visual C++ or Borland C++ 章17. 服务器安装和操作 17.1. PostgreSQL用户帐户 17.2. 创建数据库集群 17.3. 启动数据库服务器 17.4. 管理内核资源 17.5. 关闭服务 17.6. 防止服务器欺骗 17.7. 加密选项 17.8. 用SSL进行安全的TCP/IP连接 17.9. Secure TCP/IP Connections with SSH Tunnels 章18. 服务器配置 18.1. 设置参数 18.2. 文件位置 18.3. 连接和认证 18.4. 资源消耗 18.5. 预写式日志 18.6. 查询规划 18.7. 错误报告和日志 18.8. 运行时统计 18.9. 自动清理 18.10. 客户端连接缺省 18.12. 版本和平台兼容性 18.11. 锁管理 18.13. 预置选项 18.14. 自定义的选项 18.15. 开发人员选项 18.16. 短选项 章19. 用户认证 19.1. pg_hba.conf 文件 19.2. 用户名映射 19.3. 认证方法 19.4. 用户认证 章20. 数据库角色和权限 20.1. 数据库角色 20.2. 角色属性 20.3. 权限 20.4. 角色成员 20.5. 函数和触发器 章21. 管理数据库 21.1. 概述 21.2. 创建一个数据库 21.3. 临时库 21.4. 数据库配置 21.5. 删除数据库 21.6. 表空间 章22. 本土化 22.1. 区域支持 22.2. 字符集支持 章23. 日常数据库维护工作 23.1. Routine Vacuuming日常清理 23.2. 经常重建索引 23.3. 日志文件维护 章24. 备份和恢复 24.1. SQL转储 24.2. 文件系统级别的备份 24.3. 在线备份以及即时恢复(PITR) 24.4. 版本间迁移 章25. 高可用性与负载均衡,复制 25.1. 不同解决方案的比较 25.2. 日志传送备份服务器 25.3. 失效切换 25.4. 日志传送的替代方法 25.5. 热备 章26. 恢复配置 26.1. 归档恢复设置 26.2. 恢复目标设置 26.3. 备服务器设置 章27. 监控数据库的活动 27.1. 标准Unix工具 27.2. 统计收集器 27.3. 查看锁 27.4. 动态跟踪 章28. 监控磁盘使用情况 28.1. 判断磁盘的使用量 28.2. 磁盘满导致的失效 章29. 可靠性和预写式日志 29.1. 可靠性 29.2. 预写式日志(WAL) 29.3. 异步提交 29.4. WAL配置 29.5. WAL内部 章30. Regression Tests 30.1. Running the Tests 30.2. Test Evaluation 30.3. Variant Comparison Files 30.4. Test Coverage Examination IV. 客户端接口 章31. libpq-C库 31.1. 数据库联接函数 31.2. 连接状态函数 31.3. 命令执行函数 31.4. 异步命令处理 31.5. 取消正在处理的查询 31.6. 捷径接口 31.7. 异步通知 31.8. 与COPY命令相关的函数 31.9. Control Functions 控制函数 31.10. 其他函数 31.11. 注意信息处理 31.12. 事件系统 31.13. 环境变量 31.14. 口令文件 31.15. 连接服务的文件 31.16. LDAP查找连接参数 31.17. SSL支持 31.18. 在多线程程序里的行为 31.19. 制作libpq程序 31.20. 例子程序 章32. 大对象 32.1. 介绍 32.2. 实现特点 32.3. 客户端接口 32.4. 服务器端函数 32.5. 例子程序 章33. ECPG - Embedded SQL in C 33.1. The Concept 33.2. Connecting to the Database Server 33.3. Closing a Connection 33.4. Running SQL Commands 33.5. Choosing a Connection 33.6. Using Host Variables 33.7. Dynamic SQL 33.8. pgtypes library 33.9. Using Descriptor Areas 33.10. Informix compatibility mode 33.11. Error Handling 33.12. Preprocessor directives 33.13. Processing Embedded SQL Programs 33.14. Library Functions 33.15. Internals 章34. 信息模式 34.1. 关于这个模式 34.2. 数据类型 34.3. information_schema_catalog_name 34.4. administrable_role_authorizations 34.5. applicable_roles 34.6. attributes 34.7. check_constraint_routine_usage 34.8. check_constraints 34.9. column_domain_usage 34.10. column_privileges 34.11. column_udt_usage 34.12. 字段 34.13. constraint_column_usage 34.14. constraint_table_usage 34.15. data_type_privileges 34.16. domain_constraints 34.18. domains 34.17. domain_udt_usage 34.19. element_types 34.20. enabled_roles 34.21. foreign_data_wrapper_options 34.22. foreign_data_wrappers 34.23. foreign_server_options 34.24. foreign_servers 34.25. key_column_usage 34.26. parameters 34.27. referential_constraints 34.28. role_column_grants 34.29. role_routine_grants 34.30. role_table_grants 34.31. role_usage_grants 34.32. routine_privileges 34.33. routines 34.34. schemata 34.35. sequences 34.36. sql_features 34.37. sql_implementation_info 34.38. sql_languages 34.39. sql_packages 34.40. sql_parts 34.41. sql_sizing 34.42. sql_sizing_profiles 34.43. table_constraints 34.44. table_privileges 34.45. tables 34.46. triggered_update_columns 34.47. 触发器 34.48. usage_privileges 34.49. user_mapping_options 34.50. user_mappings 34.51. view_column_usage 34.52. view_routine_usage 34.53. view_table_usage 34.54. 视图 V. 服务器端编程 章35. 扩展SQL 35.1. 扩展性是如何实现的 35.2. PostgreSQL类型系统 35.3. User-Defined Functions 35.4. Query Language (SQL) Functions 35.5. Function Overloading 35.6. Function Volatility Categories 35.7. Procedural Language Functions 35.8. Internal Functions 35.9. C-Language Functions 35.10. User-Defined Aggregates 35.11. User-Defined Types 35.12. User-Defined Operators 35.13. Operator Optimization Information 35.14. Interfacing Extensions To Indexes 35.15. 用C++扩展 章36. 触发器 36.1. 触发器行为概述 36.3. 用 C 写触发器 36.2. 数据改变的可视性 36.4. 一个完整的例子 章37. 规则系统 37.1. The Query Tree 37.2. 视图和规则系统 37.3. 在INSERT,UPDATE和DELETE上的规则 37.4. 规则和权限 37.5. 规则和命令状态 37.6. 规则与触发器得比较 章38. Procedural Languages 38.1. Installing Procedural Languages 章39. PL/pgSQL - SQL过程语言 39.1. 概述 39.2. PL/pgSQL的结构 39.3. 声明 39.4. 表达式 39.5. 基本语句 39.6. 控制结构 39.7. 游标 39.8. 错误和消息 39.9. 触发器过程 39.10. PL/pgSQL Under the Hood 39.11. 开发PL/pgSQL的一些提示 39.12. 从OraclePL/SQL 进行移植 章40. PL/Tcl - Tcl Procedural Language 40.1. Overview 40.2. PL/Tcl Functions and Arguments 40.3. Data Values in PL/Tcl 40.4. Global Data in PL/Tcl 40.5. Database Access from PL/Tcl 40.6. Trigger Procedures in PL/Tcl 40.7. Modules and the unknown command 40.8. Tcl Procedure Names 章41. PL/Perl - Perl Procedural Language 41.1. PL/Perl Functions and Arguments 41.2. Data Values in PL/Perl 41.3. Built-in Functions 41.4. Global Values in PL/Perl 41.6. PL/Perl Triggers 41.5. Trusted and Untrusted PL/Perl 41.7. PL/Perl Under the Hood 章42. PL/Python - Python Procedural Language 42.1. Python 2 vs. Python 3 42.2. PL/Python Functions 42.3. Data Values 42.4. Sharing Data 42.5. Anonymous Code Blocks 42.6. Trigger Functions 42.7. Database Access 42.8. Utility Functions 42.9. Environment Variables 章43. Server Programming Interface 43.1. Interface Functions Spi-spi-connect Spi-spi-finish Spi-spi-push Spi-spi-pop Spi-spi-execute Spi-spi-exec Spi-spi-execute-with-args Spi-spi-prepare Spi-spi-prepare-cursor Spi-spi-prepare-params Spi-spi-getargcount Spi-spi-getargtypeid Spi-spi-is-cursor-plan Spi-spi-execute-plan Spi-spi-execute-plan-with-paramlist Spi-spi-execp Spi-spi-cursor-open Spi-spi-cursor-open-with-args Spi-spi-cursor-open-with-paramlist Spi-spi-cursor-find Spi-spi-cursor-fetch Spi-spi-cursor-move Spi-spi-scroll-cursor-fetch Spi-spi-scroll-cursor-move Spi-spi-cursor-close Spi-spi-saveplan 43.2. Interface Support Functions Spi-spi-fname Spi-spi-fnumber Spi-spi-getvalue Spi-spi-getbinval Spi-spi-gettype Spi-spi-gettypeid Spi-spi-getrelname Spi-spi-getnspname 43.3. Memory Management Spi-spi-palloc Spi-realloc Spi-spi-pfree Spi-spi-copytuple Spi-spi-returntuple Spi-spi-modifytuple Spi-spi-freetuple Spi-spi-freetupletable Spi-spi-freeplan 43.4. Visibility of Data Changes 43.5. Examples VI. 参考手册 I. SQL命令 Sql-abort Sql-alteraggregate Sql-alterconversion Sql-alterdatabase Sql-alterdefaultprivileges Sql-alterdomain Sql-alterforeigndatawrapper Sql-alterfunction Sql-altergroup Sql-alterindex Sql-alterlanguage Sql-alterlargeobject Sql-alteroperator Sql-alteropclass Sql-alteropfamily Sql-alterrole Sql-alterschema Sql-altersequence Sql-alterserver Sql-altertable Sql-altertablespace Sql-altertsconfig Sql-altertsdictionary Sql-altertsparser Sql-altertstemplate Sql-altertrigger Sql-altertype Sql-alteruser Sql-alterusermapping Sql-alterview Sql-analyze Sql-begin Sql-checkpoint Sql-close Sql-cluster Sql-comment Sql-commit Sql-commit-prepared Sql-copy Sql-createaggregate Sql-createcast Sql-createconstraint Sql-createconversion Sql-createdatabase Sql-createdomain Sql-createforeigndatawrapper Sql-createfunction Sql-creategroup Sql-createindex Sql-createlanguage Sql-createoperator Sql-createopclass Sql-createopfamily Sql-createrole Sql-createrule Sql-createschema Sql-createsequence Sql-createserver Sql-createtable Sql-createtableas Sql-createtablespace Sql-createtsconfig Sql-createtsdictionary Sql-createtsparser Sql-createtstemplate Sql-createtrigger Sql-createtype Sql-createuser Sql-createusermapping Sql-createview Sql-deallocate Sql-declare Sql-delete Sql-discard Sql-do Sql-dropaggregate Sql-dropcast Sql-dropconversion Sql-dropdatabase Sql-dropdomain Sql-dropforeigndatawrapper Sql-dropfunction Sql-dropgroup Sql-dropindex Sql-droplanguage Sql-dropoperator Sql-dropopclass Sql-dropopfamily Sql-drop-owned Sql-droprole Sql-droprule Sql-dropschema Sql-dropsequence Sql-dropserver Sql-droptable Sql-droptablespace Sql-droptsconfig Sql-droptsdictionary Sql-droptsparser Sql-droptstemplate Sql-droptrigger Sql-droptype Sql-dropuser Sql-dropusermapping Sql-dropview Sql-end Sql-execute Sql-explain Sql-fetch Sql-grant Sql-insert Sql-listen Sql-load Sql-lock Sql-move Sql-notify Sql-prepare Sql-prepare-transaction Sql-reassign-owned Sql-reindex Sql-release-savepoint Sql-reset Sql-revoke Sql-rollback Sql-rollback-prepared Sql-rollback-to Sql-savepoint Sql-select Sql-selectinto Sql-set Sql-set-constraints Sql-set-role Sql-set-session-authorization Sql-set-transaction Sql-show Sql-start-transaction Sql-truncate Sql-unlisten Sql-update Sql-vacuum Sql-values II. 客户端应用程序 App-clusterdb App-createdb App-createlang App-createuser App-dropdb App-droplang App-dropuser App-ecpg App-pgconfig App-pgdump App-pg-dumpall App-pgrestore App-psql App-reindexdb App-vacuumdb III. PostgreSQL服务器应用程序 App-initdb App-pgcontroldata App-pg-ctl App-pgresetxlog App-postgres App-postmaster VII. 内部 章44. PostgreSQL内部概览 44.1. 查询路径 44.2. 连接是如何建立起来的 44.3. 分析器阶段 44.4. ThePostgreSQL规则系统 44.5. 规划器/优化器 44.6. 执行器 章45. 系统表 45.1. 概述 45.2. pg_aggregate 45.3. pg_am 45.4. pg_amop 45.5. pg_amproc 45.6. pg_attrdef 45.7. pg_attribute 45.8. pg_authid 45.9. pg_auth_members 45.10. pg_cast 45.11. pg_class 45.12. pg_constraint 45.13. pg_conversion 45.14. pg_database 45.15. pg_db_role_setting 45.16. pg_default_acl 45.17. pg_depend 45.18. pg_description 45.19. pg_enum 45.20. pg_foreign_data_wrapper 45.21. pg_foreign_server 45.22. pg_index 45.23. pg_inherits 45.24. pg_language 45.25. pg_largeobject 45.26. pg_largeobject_metadata 45.27. pg_namespace 45.28. pg_opclass 45.29. pg_operator 45.30. pg_opfamily 45.31. pg_pltemplate 45.32. pg_proc 45.33. pg_rewrite 45.34. pg_shdepend 45.35. pg_shdescription 45.36. pg_statistic 45.37. pg_tablespace 45.38. pg_trigger 45.39. pg_ts_config 45.40. pg_ts_config_map 45.41. pg_ts_dict 45.42. pg_ts_parser 45.43. pg_ts_template 45.44. pg_type 45.45. pg_user_mapping 45.46. System Views 45.47. pg_cursors 45.48. pg_group 45.49. pg_indexes 45.50. pg_locks 45.51. pg_prepared_statements 45.52. pg_prepared_xacts 45.53. pg_roles 45.54. pg_rules 45.55. pg_settings 45.56. pg_shadow 45.57. pg_stats 45.58. pg_tables 45.59. pg_timezone_abbrevs 45.60. pg_timezone_names 45.61. pg_user 45.62. pg_user_mappings 45.63. pg_views 章46. Frontend/Backend Protocol 46.1. Overview 46.2. Message Flow 46.3. Streaming Replication Protocol 46.4. Message Data Types 46.5. Message Formats 46.6. Error and Notice Message Fields 46.7. Summary of Changes since Protocol 2.0 47. PostgreSQL Coding Conventions 47.1. Formatting 47.2. Reporting Errors Within the Server 47.3. Error Message Style Guide 章48. Native Language Support 48.1. For the Translator 48.2. For the Programmer 章49. Writing A Procedural Language Handler 章50. Genetic Query Optimizer 50.1. Query Handling as a Complex Optimization Problem 50.2. Genetic Algorithms 50.3. Genetic Query Optimization (GEQO) in PostgreSQL 50.4. Further Reading 章51. 索引访问方法接口定义 51.1. 索引的系统表记录 51.2. 索引访问方法函数 51.3. 索引扫描 51.4. 索引锁的考量 51.5. 索引唯一性检查 51.6. 索引开销估计函数 章52. GiST Indexes 52.1. Introduction 52.2. Extensibility 52.3. Implementation 52.4. Examples 52.5. Crash Recovery 章53. GIN Indexes 53.1. Introduction 53.2. Extensibility 53.3. Implementation 53.4. GIN tips and tricks 53.5. Limitations 53.6. Examples 章54. 数据库物理存储 54.1. 数据库文件布局 54.2. TOAST 54.3. 自由空间映射 54.4. 可见映射 54.5. 数据库分页文件 章55. BKI后端接口 55.1. BKI 文件格式 55.2. BKI命令 55.3. 系统初始化的BKI文件的结构 55.4. 例子 章56. 规划器如何使用统计信息 56.1. 行预期的例子 VIII. 附录 A. PostgreSQL错误代码 B. 日期/时间支持 B.1. 日期/时间输入解析 B.2. 日期/时间关键字 B.3. 日期/时间配置文件 B.4. 日期单位的历史 C. SQL关键字 D. SQL Conformance D.1. Supported Features D.2. Unsupported Features E. Release Notes Release-0-01 Release-0-02 Release-0-03 Release-1-0 Release-1-01 Release-1-02 Release-1-09 Release-6-0 Release-6-1 Release-6-1-1 Release-6-2 Release-6-2-1 Release-6-3 Release-6-3-1 Release-6-3-2 Release-6-4 Release-6-4-1 Release-6-4-2 Release-6-5 Release-6-5-1 Release-6-5-2 Release-6-5-3 Release-7-0 Release-7-0-1 Release-7-0-2 Release-7-0-3 Release-7-1 Release-7-1-1 Release-7-1-2 Release-7-1-3 Release-7-2 Release-7-2-1 Release-7-2-2 Release-7-2-3 Release-7-2-4 Release-7-2-5 Release-7-2-6 Release-7-2-7 Release-7-2-8 Release-7-3 Release-7-3-1 Release-7-3-10 Release-7-3-11 Release-7-3-12 Release-7-3-13 Release-7-3-14 Release-7-3-15 Release-7-3-16 Release-7-3-17 Release-7-3-18 Release-7-3-19 Release-7-3-2 Release-7-3-20 Release-7-3-21 Release-7-3-3 Release-7-3-4 Release-7-3-5 Release-7-3-6 Release-7-3-7 Release-7-3-8 Release-7-3-9 Release-7-4 Release-7-4-1 Release-7-4-10 Release-7-4-11 Release-7-4-12 Release-7-4-13 Release-7-4-14 Release-7-4-15 Release-7-4-16 Release-7-4-17 Release-7-4-18 Release-7-4-19 Release-7-4-2 Release-7-4-20 Release-7-4-21 Release-7-4-22 Release-7-4-23 Release-7-4-24 Release-7-4-25 Release-7-4-26 Release-7-4-27 Release-7-4-28 Release-7-4-29 Release-7-4-3 Release-7-4-30 Release-7-4-4 Release-7-4-5 Release-7-4-6 Release-7-4-7 Release-7-4-8 Release-7-4-9 Release-8-0 Release-8-0-1 Release-8-0-10 Release-8-0-11 Release-8-0-12 Release-8-0-13 Release-8-0-14 Release-8-0-15 Release-8-0-16 Release-8-0-17 Release-8-0-18 Release-8-0-19 Release-8-0-2 Release-8-0-20 Release-8-0-21 Release-8-0-22 Release-8-0-23 Release-8-0-24 Release-8-0-25 Release-8-0-26 Release-8-0-3 Release-8-0-4 Release-8-0-5 Release-8-0-6 Release-8-0-7 Release-8-0-8 Release-8-0-9 Release-8-1 Release-8-1-1 Release-8-1-10 Release-8-1-11 Release-8-1-12 Release-8-1-13 Release-8-1-14 Release-8-1-15 Release-8-1-16 Release-8-1-17 Release-8-1-18 Release-8-1-19 Release-8-1-2 Release-8-1-20 Release-8-1-21 Release-8-1-22 Release-8-1-23 Release-8-1-3 Release-8-1-4 Release-8-1-5 Release-8-1-6 Release-8-1-7 Release-8-1-8 Release-8-1-9 Release-8-2 Release-8-2-1 Release-8-2-10 Release-8-2-11 Release-8-2-12 Release-8-2-13 Release-8-2-14 Release-8-2-15 Release-8-2-16 Release-8-2-17 Release-8-2-18 Release-8-2-19 Release-8-2-2 Release-8-2-20 Release-8-2-21 Release-8-2-3 Release-8-2-4 Release-8-2-5 Release-8-2-6 Release-8-2-7 Release-8-2-8 Release-8-2-9 Release-8-3 Release-8-3-1 Release-8-3-10 Release-8-3-11 Release-8-3-12 Release-8-3-13 Release-8-3-14 Release-8-3-15 Release-8-3-2 Release-8-3-3 Release-8-3-4 Release-8-3-5 Release-8-3-6 Release-8-3-7 Release-8-3-8 Release-8-3-9 Release-8-4 Release-8-4-1 Release-8-4-2 Release-8-4-3 Release-8-4-4 Release-8-4-5 Release-8-4-6 Release-8-4-7 Release-8-4-8 Release-9-0 Release-9-0-1 Release-9-0-2 Release-9-0-3 Release-9-0-4 F. 额外提供的模块 F.1. adminpack F.2. auto_explain F.3. btree_gin F.4. btree_gist F.5. chkpass F.6. citext F.7. cube F.8. dblink Contrib-dblink-connect Contrib-dblink-connect-u Contrib-dblink-disconnect Contrib-dblink Contrib-dblink-exec Contrib-dblink-open Contrib-dblink-fetch Contrib-dblink-close Contrib-dblink-get-connections Contrib-dblink-error-message Contrib-dblink-send-query Contrib-dblink-is-busy Contrib-dblink-get-notify Contrib-dblink-get-result Contrib-dblink-cancel-query Contrib-dblink-get-pkey Contrib-dblink-build-sql-insert Contrib-dblink-build-sql-delete Contrib-dblink-build-sql-update F.9. dict_int F.10. dict_xsyn F.11. earthdistance F.12. fuzzystrmatch F.13. hstore F.14. intagg F.15. intarray F.16. isn F.17. lo F.18. ltree F.19. oid2name F.20. pageinspect F.21. passwordcheck F.22. pg_archivecleanup F.23. pgbench F.24. pg_buffercache F.25. pgcrypto F.26. pg_freespacemap F.27. pgrowlocks F.28. pg_standby F.29. pg_stat_statements F.30. pgstattuple F.31. pg_trgm F.32. pg_upgrade F.33. seg F.34. spi F.35. sslinfo F.36. tablefunc F.37. test_parser F.38. tsearch2 F.39. unaccent F.40. uuid-ossp F.41. vacuumlo F.42. xml2 G. 外部项目 G.1. 客户端接口 G.2. 过程语言 G.3. 扩展 H. The Source Code Repository H.1. Getting The Source Via Git I. 文档 I.1. DocBook I.2. 工具集 I.3. 制作文档 I.4. 文档写作 I.5. 风格指导 J. 首字母缩略词 参考书目 Bookindex Index
文字

19.3. 认证方法

下面的小节更详细地描述认证方法。

19.3.1. 认证方法

如果声明了trust认证模式, PostgreSQL 就假设任何可以连接到服务器的人都可以以任何他声明的数据库用户名 (即便是超级用户)连接。当然,在databaseuser字段里面的限制仍然适用。 这个方法应该用于那些在连接到服务器已经有足够操作系统层次保护的环境里。

trust认证对于单用户工作站的本地连接是非常合适和方便的。 通常它本身并适用于多用户环境的机器。 不过,即使在多用户的机器上,你也可以使用trust , 只要你利用文件系统权限限制了对服务器的Unix域套接字文件的访问。 要做这些限制,你可以设置unix_socket_permissions参数 (以及可能还有unix_socket_group),就像Section 18.3里描述的那样。 或者你可以设置unix_socket_directory, 把Unix域套接字文件放在一个经过恰当限制的目录里。

设置文件系统权限只能帮助Unix套接字连接, 它不会通过文件系统权限限制本地TCP/IP连接。 因此,如果你想利用文件系统权限来控制本地安全, 那么删除pg_hba.conf文件中的host ... 127.0.0.1 ... 行, 或者把它改为一个非trust的认证方法。

trust认证模式只适合TCP/IP连接, 只有在你信任那些pg_hba.conf行上所有机器中的所有用户的时候才是合适的。 很少有理由使用trust作为任何除来自localhost(127.0.0.1) 以外的TCP/IP连接的认证方式。

19.3.2. 口令认证

以口令为基础的认证方法包括md5password 。 这些方法操作上非常类似,只不过口令通过连接传送的方法不同:MD5散列、crypt加密、明文。 一个限制是crypt不能使用存储在pg_authid中已加密的口令。

如果你担心口令"sniffing"被窃听,那么md5比较合适,简单的password应始终尽量避免。然而,md5不能和db_user_namespace特性一起使用。如果连接受SSL加密保护,那么password使用安全(尽管SSL证书认证可能是一个更好的选择,如果一个是取决于使用SSL)。

PostgreSQL 数据库口令与任何操作系统用户口令无关。各个数据库用户的口令是存储在pg_authid系统表里面。口令可以用SQL语言命令CREATE USERALTER USER等管理(比如CREATE USER foo WITH PASSWORD 'secret'; 。缺省时,如果没有明确设置口令,那么存储的口令是空并且该用户的口令认证总会失败。

19.3.3. GSSAPI认证

GSSAPI是在RFC 2743中定义的安全认证的一个行业标准协议。 PostgreSQL按照RFC 1964支持GSSAPIKerberos认证。 GSSAPI为支持系统提供自动验证(单点登录)。认证本身是安全的,但通过数据库连接发送的数据将不加密发送,除非使用SSL

GSSAPI使用Kerberos, 在形式servicename/hostname@realm 中使用标准格式。对于信息的主要部分,如何建立所需的密钥,参阅Section 19.3.5。

当建立PostgreSQL时,GSSAPI支持必须启用,参阅Chapter 15获取详细信息。

GSSAPI下列配置选项:

include_realm

如果设置为1,认证用户的名字范围 主要包括通过用户名映射(Section 19.2)的系统用户名。这对处理来自多个领域的用户非常有用。

map

允许在系统和数据库用户名之间映射。参阅Section 19.2 获得详情。 一个Kerberos原则username/hostbased@EXAMPLE.COM, 如果include_realmusername/hostbased@EXAMPLE.COM被禁用,include_realm被启用,用于映射的用户名是username/hostbased

krb_realm

设置匹配用户主要名称的范围。如果这个参数 设置了,该领域唯一的用户将被接受。如果没有设置, 任何领域的用户可以连接,服从任何用户名映射。

19.3.4. SSPI认证

SSPI是单点登录的安全认证Windows技术。 PostgreSQLnegotiate模式中使用SSPI, 在可能的情况,并自动回落到任何情况下的NTLM时。这将使用Kerberos。 当服务器和客户机正在运行Windows时,仅运行SSPI认证。

当正在使用Kerberos认证时,SSPIGSSAPI 的工作方式相同;参阅Section 19.3.3获得详情。

SSPI支持下列配置选项:

include_realm

如果设置为1,认证用户的名字范围 主要包括通过用户名映射(Section 19.2)的系统用户名。这对处理来自多个领域的用户非常有用。

map

允许系统和数据库的用户名之间映射。参阅Section 19.2获得详情。

krb_realm

设置匹配用户主要名称的范围。如果这个参数 设置了,该领域唯一的用户将被接受。如果没有设置, 任何领域的用户可以连接,服从任何用户名映射。

19.3.5. Kerberos认证

Note: 本地Kerberos认证已过时,只是为了向后兼容。新的和升级安装 鼓励使用行业标准GSSAPI认证方法(参阅Section 19.3.3)。

Kerberos是一种适用于在公共网络上进行分布计算的工业标准的安全认证系统。 对Kerberos系统的叙述远远超出了本文档的范围; 总的说来它是相当复杂(同样也相当强大)的系统。 KerberosFAQ 或MIT Kerberos page是个开始学习的好地方。 现存在好几种Kerberos发布的源代码。Kerberos只提供安全认证, 但并不加密在网络上传输的查询和数据,SSL可以用于这个目的。

PostgreSQL支持Kerberos 5,Kerberos支持必须在PostgreSQL编译的时候打开。参阅Chapter 15获取更多信息。

PostgreSQL运行时像一个普通的Kerberos服务。 服务主的名字是servicename/hostname@realm

servicename 可以用 krb_srvname 配置参数在服务器端设置, 或者在客户端使用krbsrvname连接参数设置(又见Section 31.1)。编译的时候, 可以把安装时的缺省postgres 修改掉, 方法是使用./configure --with-krb-srvnam=whatever。 在大多数情况下,我们不需要修改这个参数。 但是,如果需要在同一台主机上同时安装多套PostgreSQL , 那么这个就是必须的了。有些Kerberos实现还可能要求其它的服务名, 比如Microsoft Active Directory就要求服务名必须是大写的(POSTGRES)。

hostname是服务器的全限定主机名。服务主的领域就是主机的首选领域。

客户主自己必须用它们自己的PostgreSQL用户名作为第一个部件, 比如pgusername/otherstuff@realm 。另外,你可以使用一个用户名 映射对主体名的第一个组件到数据库用户名。 默认情况下,PostgreSQL没有检查客户的域;如果你有跨域 启用认证和需要验证域,使用krb_realm参数,或启用include_realm 和使用用户名映射到检查域。 因此如果你打开了跨域的认证, 那么在任意域里任何可以和你通讯的主都会被接受。

确认服务器的密钥表文件是可以被 PostgreSQL服务器帐户读取(最好就是只读的) (又见Section 17.1)密钥文件(keytab)的位置是用 配置参数 krb_server_keyfile 声明的。 缺省是/usr/local/pgsql/etc/krb5.keytab (或者任何在编译的时候声明为sysconfdir的目录)。

密钥表文件(keytab)是在Kerberos软件里生成的,参阅Kerberos文档获取细节。 下面的例子是可以用于MIT兼容的Kerberos 5实现:

kadmin% ank -randkey postgres/server.my.domain.org
kadmin% ktadd -k krb5.keytab postgres/server.my.domain.org

当连接到数据库,确保你有一个主要匹配请求数据库用户名的标签 。例如,对于数据库用户的名称 fred,主要 fred@EXAMPLE.COM将能够连接。也允许 主要fred/users.example.com@EXAMPLE.COM,使用一个用户名地图,正如在Section 19.2 描述的。

如果你在Apache服务器上使用了 mod_auth_kerbmod_perl 模块, 你可以用一个mod_perl 脚本进行 AuthType KerberosV5SaveCredentials 。 这样就有了一个通过web的安全数据库访问,不需要额外的口令。

下面配置选项支持Kerberos:

map

允许系统和数据库的用户名之间映射。参阅Section 19.2获得详情。

include_realm

如果设置为1,认证用户的名字范围 主要包括通过用户名映射(Section 19.2)的系统用户名。这对处理来自多个领域的用户非常有用。

krb_realm

设置匹配用户主要名称的范围。如果这个参数 设置了,该领域唯一的用户将被接受。如果没有设置, 任何领域的用户可以连接,服从任何用户名映射。

krb_server_hostname

设置主服务器主体名称的一部分。 即,连接krb_srvname,用于生成 完整的服务主体,也就是 krb_srvname/krb_server_hostname@REALM。 如果没有设置,默认是服务器主机名。

19.3.6. 给予Ident的认证

ident认证方法是通过获取客户端的操作系统用户名,使用它作为允许数据库用户 名称(可选的用户名映射),判断客户端的用户名是非常关键的安全点,根据连接类型的不同,它的实现方法也略有不同,正如下面描述的。

下面配置选项支持ident:

map

允许在系统和数据库用户名之间匹配。参阅Section 19.2获取详情。

19.3.6.1. 透过TCP/IP的认证

"Identification Protocol"(标识协议) 在RFC 1413里面描述。 实际上每个类Unix的操作系统都带着一个缺省时侦听113端口的身份服务器。 身份服务器的基本功能是回答类似这样的问题: "是什么用户从你的端口X初始化出来连接到我的端口Y上来了?" 。 因为在建立起物理连接后,PostgreSQL既知道X也知道Y, 因此它可以询问运行尝试连接的客户端的主机,并且理论上可以用这个方法判断发起连接的操作系统用户。

这样做的缺点是它取决于客户端的完整性: 如果客户端不可信或者被攻击者攻破, 而且它们可以在113端口上运行任何程序并且返回他们选择的任何用户的话, 就无法认证了。因此这个认证方法只适用于封闭的网络, 这样的网络里的每台客户机都处于严密的控制下并且数据库和操作系统管理员可以比较方便地联系上。 换句话说,你必须信任运行身份(ident)服务的机器。下面是警告:

 

身份标识协议并不适用于认证或者访问控制协议。

 
--RFC 1413  

有些身份服务器有一个非标准的选项, 导致返回的用户名是加密的, 使用的是只有原机器的管理员知道的一个密钥。 在与PostgreSQL配合使用身份认证的时候, 你一定不能使用这个选项,因为PostgreSQL 没有任何方法对返回的字符串进行解密以获取实际的用户名。

19.3.6.2. 透过本地套接字的身份认证

在支持用于Unix域套接字的SO_PEERCRED请求的系统上 (当前Linux, FreeBSD, NetBSD, OpenBSD, BSD/OS,和Solaris), 身份认证也可以适用于本地连接。 PostgreSQLSO_PEERCRED以找出连接客户端进程的操作系统的名称。 这个时候,使用身份认证不会增加安全风险; 实际上这也是在这种系统上使用本地连接时的首选方法。

在没有SO_PEERCRED请求的系统上, 身份认证只能通过TCP/IP连接获取。 如果需要绕开这个限制, 我们可以声明localhost 地址 127.0.0.1 , 然后让连接指向这个地址。 这个方法适用于你信任本机身份认证服务器的场合。

19.3.7. LDAP认证

这个认证方法操作起来类似password , 只不过它使用LDAP作为密码验证方法。 LDAP只用于验证用户名/口令对。 因此,在使用LDAP进行认证之前,用户必须已经存在于数据库里。

LDAP身份验证可以在两种模式下运行。在第一种模式中, 服务器将绑定构造的prefix username suffix可分辨名称。 通常情况下,prefix参数用于指定主目录环境下的 cn=, 或者DOMAIN\suffix用来指定非主目录环境中的DN留下的一部分。

在第二种模式中,服务器首先用一个固定的用户名和密码绑定到LDAP目录 ,指定ldapbinduserldapbinddn,并执行一个用户试图登录到数据库的搜索。 如果没有用户名和密码配置, 将尝试匿名绑定到目录。 在ldapbasedn子树搜索,将尝试 做一个在ldapsearchattribute中指定属性的精确匹配。 如果没有指定属性, uid属性将被使用。一旦用户已发现 这个搜索,服务器断开,用户重新结合目录,使用由客户指定的密码,以验证 登录是正确的。 这种方法可以在用户对象所在的目录显示更大的灵活性,但会造成两个单独的LDAP服务器连接。

LDAP支持下列配置选项:

ldapserver

LDAP服务器连接的名称或IP。

ldapport

连接到LDAP服务器的端口号。如果没有指定端口, LDAP库的默认端口设置将被使用。

ldaptls

设置1以使PostgreSQL和 LDAP服务器之间的连接使用TLS加密。请注意,这里仅加密 LDAP服务器的流量—客户端连接 将不被加密,除非使用SSL。

ldapprefix

当做简单绑定认证,追加到形成DN绑定为用户名的字符串。

ldapsuffix

当做简单绑定认证,追加到形成DN绑定为用户名的字符串。

ldapbasedn

当做搜索+绑定认证时,根DN开始在用户搜索。

ldapbinddn

当做搜索+绑定认证时,用户的DN绑定到目录执行搜索。

ldapbindpasswd

当做搜索+绑定认证时,用户密码绑定到该目录执行搜索。

ldapsearchattribute

当做搜索+绑定认证时,归因为在搜索中匹配用户名。

Note: 由于LDAP通常使用逗号和空格分隔不同 DN的部分,当配置LDAP选项,它常常需要使用双引号参数 值,例如:

ldapserver=ldap.example.net ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"

19.3.8. RADIUS认证

这种认证方法类似于 password,除非它使用RADIUS 作为密码验证方式。 RADIUS是只用于验证 用户名/密码对。因此,RADIUS用于认证之前,用户必须已经存在数据库中。

当使用RADIUS认证时,访问请求消息将被发送到 配置的RADIUS服务器。这一请求类型于Authenticate Only, 包含参数为 user name, password (加密)和 NAS Identifier。请求将使用 与服务器共享一个密钥加密。RADIUS服务器将响应Access Accept或者 Access Reject的服务器。不支持RADIUS记录。

RADIUS支持下列配置选项:

radiusserver

连接到RADIUS服务器的名称或IP地址。此参数是必需的。

radiussecret

当谈到RADIUS服务器,使用共享的秘密。在PostgreSQL和RADIUS服务器必须有相同的值。建议,这是一个至少16个字符的字符串 。此参数是必需的。

Note: 如果PostgreSQL建立支持OpenSSL,使用加密载体将增强加密。 在其他情况下,传输到RADIUS服务器应该被视为混淆,没有保障, 如有必要,应采用外部安全措施。

radiusport

连接到RADIUS服务器上的端口号。如果没有指定端口,则默认端口1812将使用。

radiusidentifier

在RADIUS请求中字符串作为NAS Identifier。 这个参数作为第二个参数标识例子,用户正试图认证为数据库用户。 它可用于策略匹配在RADIUS服务器。如果没有指定标识符,默认使用 postgresql

19.3.9. 证书认证

这种认证方法使用SSL客户端证书执行 认证。因此,只适用于SSL连接。 使用这种认证方法时,服务器会要求 客户端提供一个有效的证书。没有密码的提示将被发送 到客户端。证书的cn(通用名)属性 将比较被请求的数据库用户名,如果匹配 将允许登录。使用用户名映射,允许 cn不同于数据库的用户名。

SSL证书认证支持下列配置选项:

map

允许在系统和数据库用户名间映射。参阅Section 19.2获取详情。

19.3.10. PAM认证

这个认证方法操作起来类似password , 只不过它使用PAM作为认证机制。 缺省的PAM服务名是postgresql 。 你可以在pg_hba.conf文件的pam关键字后面提供自己的可选服务名。 PAM只用于验证用户名/口令对。 因此,在使用PAM进行认证之前,用户必须已经存在于数据库里。 有关PAM的更多信息,请阅读 Linux-PAM Page页面和 Solaris PAM Page页面。

PAM支持下列配置选项:

pamservice

PAM服务名称。

Note: 如果PAM设置读取/etc/shadow,认证 将会失败,因为PostgreSQL服务器是由一个非root用户启动 。然而,当PAM配置使用LDAP或其他身份验证方法,这不是一个问题。

上一篇: 下一篇: