Formation administration PostgreSQL

Configuration de PostgreSQL

Configurer un cluster

Suite à la création d'un cluster par initdb certains ajustements sont nécessaires :
- modifier le paramètrage général (mémoire, langue, port de communication),
- modifier les droits de connexion,
- établir des correspondances utilisateurs système/base de données...
La configuration est répartie dans les fichiers suivants :
- postgresql.conf pour la configuration globale (identifiable par config_file),
- hba_file pour la configuration des accès à partir des machines (Host based authentification),
- ident_file pour la correspondance des utilisateurs système/base de données.

Par exemple pour permettre des fonctionnements simultanés de clusters indépendants il faudra leur préciser des numéros de port TCP différents. Le numéro port est indiqué dans le fichier postgresql.conf situé à priori à la racine du cluster. Par défaut le port 5432 est utilisé.

Le fichier `pg_hba.conf`

Ce fichier est destiné à configurer les accès relativement à la provenance de la connexion.
Il permet de choisir un type d'authentification en fonction :
- du mode de connexion : locale, distante, sécurisée, ...
- de la base de données visée,
- de l'utilisateur.
Le comportement est celui des ACLs : la première correspondance interrompt l'analyse des lignes suivantes.

le nom de ce fichier vient de l'acronyme de Host Based Authentification.

Le mécanisme des ACL est présent dans de nombreux systèmes informatiques, on le retrouve par exemple dans les annuaires LDAP ou encore dans les systèmes de fichier UNIX avec les ACL POSIX.

Le fichier `pg_hba.conf`

Dans les modes d'accès on distingue ;
- les connexions locales (local), c'est-à-dire via les sockets Unix,
- les connexions TCP/IP sécurisées et non sécurisées (host),
- les connexions TCP/IP sécurisées (hostssl),
- les connexions TCP/IP non sécurisées (hostnossl),
à l'exception du mode local, tous les modes exigent un paramètre relatif à l'adresse IP.

Les sockets UNIX indiquent un point d'accès via le système de fichiers. le fichier est de type socket et est préfixé par un s lors d'un ls -la. Le client psql accepte une indication d'adresse de connexion, si celle-ci correspond à un répertoire, celui-ci sera utilisé pour localiser le fichier de socket qui devra être de la forme .s.PGSQL.num_port.

Les adresses IP pourront correspondre à des machines ou à des réseaux. On devra utiliser indifféremment l'une des notation avec masque ou en format CIDR, en IPv4 comme en IPv6.

Le fichier `pg_hba.conf`

En fonction des critères de sélection l'accès pourra :
- être interdit (reject),
- être accepté sans authentification (trust),
- être accepté à partir des utilisateurs du système d'exploitation :
  - via le réseau par ident,
  - via les connexions locales par peer,
- être accepté à partir des utilisateurs et mots de passe déclarés dans la base de données (md5 ou password),
- ....

Il existe un grand nombre de modes d'authentification, certains sont à éviter tel que password qui véhicule en clair les mots de passe sur le réseau. La liste complète est accessible à http://docs.postgresql.fr/current/client-authentication.html

Le fichier `pg_hba.conf`

Exemple de fichier pg_hba.conf ;

local  all       +users,test                  md5
local  all       all                          peer
host   postgres  usera  10.0.0.5/32           password
host   postgres  all    10.0.0.0/24           ldap ldap params
host   all       all    .exemple.com          ident
host   all       all    test.mon-domaine.com  reject
host   all       all    192.168.0.0/16        ident map=letest
host   db1,db2   all    0.0.0.0/0             krb5
host   all       all    127.0.0.1/32          pam
host   all       all    ::1/128               trust

Comme l'illustre cet exemple, il est également possible d'indiquer un réseau par son nom de domaine préfixé de . ou une machine par son nom.

Un utilisateur peut être indiqué par son appartenance à un groupe, dans ce cas il sera préfixé par un +. Nous verrons plus tard la gestion des utilisateurs et des rôles pour permettre cette appartenance.

En cas d'authentification via Ldap il faudra fournir les paramètres d'accès à l'annuaire par ldapserver=ip serveur, ldapprefix=le prefixe, ldapsuffix=le suffixe...

Le fichier `pg_ident.conf`

Il est parfois nécessaire de faire correspondre des noms d'utilisateurs systèmes à des identifiants différents vu de PostgreSQL.
Le fichier pg_ident.conf assure ce comportement.
Il contient une série de lignes composées de trois colonnes séparées par des espaces qui représentent :
- Un mapname c'est-à-dire un nom correspondant à une entrée identifiée par map=mapname du fichier pg_hba.conf
- Un system-username c'est-à-dire le nom de l'utilisateur tel que présent sur le système d'exploitation,
- Un pg-username c'est-à-dire le nom de l'utilisateur tel que vu par PostgreSQL.

Ce mécanisme ne peut être pris en compte que pour les utilisateurs du système d'exploitation, c'est à dire ceux qui seront identifiables par le service d'identification (sous Unix c'est le service auth disponible au port 113/TCP) ou encore par le module d'authentification pam. Le service d'auhentification peut être lancé à partir du paquet oidentd.

Cette technique impose toutefois qu'un utilisateur indique le nom qu'il veut utiliser, en revanche aucune demande d'authentification ne sera réalisée pour prendre une identité dont la correspondance est assurée par la map visée dans le fichier pg_ident.conf.

le fichier `pg_ident.conf`

Il peut être également utile de n'établir des correspondances qu'avec des fragments de chaînes de caractères.
Les expressions régulières peuvent être utilisées pour faire ces correspondances :
- elles sont détectées par le premier caractère qui doit être un /,
- la chaîne suivante devra être une expression régulière POSIX,
- les captures et substitutions peuvent être utilisées par (expr) et \num.

Le fichier `pg_ident.conf`

Exemple de fichier permettant des connexions depuis userb en tant que utilisateur usera :

# MAPNAME       SYSTEM-USERNAME         PG-USERNAME
letest          /^(.*)@.*$              \1
letest          userb                   usera
letest          usera                   usera

Exemple de connexion à partir d'une machine située sur le réseau 192.168.0.0/16 (en conformité avec pg_hba.conf) :
```
psql -h 192.168.8.3 -U usera -p 5432 postgres
psql (9.6.1)
Saisissez « help » pour l'aide.
...
```
les utilisateurs système identifiés par leur adresse E-mail auront pour identifiant postgres la partie gauche de l'adresse.

On remarque que l'utilisateur système test peut se connecter sans mot de passe en tant qu'utilisateur système usera sous réserve qu'il soit déjà authentifié. Ceci aurait également été vrai pour tout autre utilisateur reconnu par PostgreSQL.

En mode ident ce mécanisme n'est opérationnel que si le serveur d'identification est actif, ce qui n'est pas toujours vrai !

Le fichier `postgresql.conf`

Il contient la configuration du serveur PostgreSQL :
- le port d'écoute (par défaut 5432),
- les encodages caractères (par défaut il utilise ceux des locales),
- les répertoires de stockage des bases de données (data_directory),
- les noms complets des fichiers hba_file et ident_file précédemment décrits, ...

Les lignes de ce fichier présentent des variables avec des valeurs associées. Une ligne commençant par # indique un commentaire. Dans la plupart des installations de PostgreSQL l'ensemble des paramètres est présent sous forme de lignes commentées, avec comme valeur associée la valeur utilisée par défaut.

Nos serons amenés à modifier des paramètres dans ce fichier tout au long de cette formation d'administration de PostgreSQL.

Localisation de la configuration

Les fichiers de configuration peuvent être positionnés ailleurs dans l'arborescence.
En réalité seul le fichier postgresql.conf nécessite d'être localisé dans l'arborescence $PGDATA.
Celle ci peut être indiquée :
- soit par l'option -D chemin de la commande pg_ctl,
- soit par la variable d'environnement $PGDATA.
par la suite :
- le fichier pg_hba.conf peut être relocalisé par le paramètre hba_file=chemin/vers/hba,
- le fichier pg_ident.conf peut être relocalisé par le paramètre ident_file=chemin/vers/ident,
- la base de l'arborescence du cluster peut être relocalisé par le paramètre data_directory=chemin/vers/cluster.

Les distributions Linux/Debian utilisent cette technique de relocalisation de la configuration en positionnant les arborescences contenant postgresql.conf selon des chemins du type /etc/postgresql/version/main/.

La table `pg_settings`

Tous les paramètres de postgresql.conf sont stockés dans la table pg_settings.

Dans celle-ci le champ context indique :

`internal`	la valeur ne peut être modifiée (parfois en recompilant le système)
`postmaster`	la modification exige un redémarrage
`sighup`	la modification peut être prise en compte par envoi du signal `HUP`
`superuser-backend`	la modification est prise en compte en début de session uniquement par le superuser
`superuser`	peut être modifiée en session par le superuser
`backend`	la modification est prise en compte en début de session par n'importe qui
`user`	peut être modifiée en session par n'importe qui

La commande SET nom_du_champ TO valeur; permet de modifier un champ.
La commande SHOW nom_du_champ; permet de visualiser un champ.

Pour localiser rapidement le fichier de configuration principal (nommé postgresql.conf) nous disposons du champ config_file (en lecture seule). Aussi les commandes suivantes permettent de localiser tous les éléments de la configuration :

SHOW config_file;
               config_file                
------------------------------------------
 /etc/postgresql/9.6/main/postgresql.conf
(1 ligne)
SHOW data_directory;
        data_directory        
------------------------------
 /var/lib/postgresql/9.6/main
(1 ligne)
SHOW hba_file;
               hba_file               
--------------------------------------
 /etc/postgresql/9.6/main/pg_hba.conf
(1 ligne)
SHOW ident_file;
               ident_file               
----------------------------------------
 /etc/postgresql/9.6/main/pg_ident.conf
(1 ligne)

On voit dans cette configuration que les chemins ont été modifiés (système DEBIAN).

La table `pg_settings`

Colonnes de la table `pg_settings`
nom de la colonne	description
`name`	nom du paramètre de configuration
`setting`	valeur courante
`unit`	unité (si applicable)
`category`	section de configuration : log, autovacuum, ...
`short_desc`	description courte
`extra_desc`	description longue
`context`	contexte de mise à jour
`vartype`	type de paramètre : `bool`, `enum`, `integer`, `real` ou `string`
`source`	provenance de la valeur, fichier, session, config...
`min_val`	valeur minimale
`max_val`	valeur maximale
`enumvals`	valeur énumérées permises
`boot_val`	valeur de compilation
`reset_val`	valeur utilisée après démarrage
`sourcefile`	nom du fichier responsable de l'affectation
`sourceline`	numéro de la ligne du fichier affectant la variable
`pending_restart`	vrai si attente de redémarrage après modification l'exigeant

La valeur booléenne pending_restart, est positionnée à true si suite à un rechargement de la configuration il est remarqué que le paramètre à été modifié par rapport à sa valeur courante, mais que sa prise en compte ne pourra s'effectuer qu'après un redémarrage du serveur.

Le fichier `postgresql.auto.conf`

Depuis la version 9.4 il est possible de modifier la configuration par des commandes SQL
La commande ALTER SYSTEM permet ce type d'action.
Les modifications ainsi réalisées sont envoyées dans le fichier postgresql.auto.conf.
Ce fichier est lu à la suite de postgresql.conf.

Exemple de modification :

ALTER SYSTEM SET max_connections TO 80;
ALTER SYSTEM

Suite à l'envoi de cette commande le fichier postgresql.auto.conf aura pour contenu :

# Do not edit this file manually!
# It will be overwritten by ALTER SYSTEM command.
max_connections = '80'

Pour annuler les modifications réalisées via ALTER SYSTEM il suffit simplement de détruire le fichier postgresql.auto.conf.

Rechargement de la configuration

En cas de modification de paramètres ne nécessitant pas de redémarrage il faut notifier le serveur de la présence d'une nouvelle configuration.
Pour cette action il existe deux possibilités :
- depuis la machine hôte à l'aide de la commande kill -HUP pid_serveur,
- à distance par la commande SQL SELECT pg_reload_conf() (en superutilisateur bien sûr)
la configuration sera lue comme lors d'un démarrage dans les deux fichiers postgresql.conf et postgresql.auto.conf.
En cas de modification de paramètres exigeant un redémarrage le bit pending_restart du paramètre correspondant sera positionné dans la table pg_settings.

La commande pg_ctl -D chemin/vers/cluster reload n'est en réalité qu'un appel de la commande kill -HUP pid_serveur.

Pour obtenir de l'aide

À propos du fichier pg_hba.conf : www.postgresql.org/docs/current/static/auth-pg-hba-conf.html
Les différentes méthodes d'authentification : www.postgresql.org/docs/current/static/auth-methods.html
Configuration du serveur postgres : www.postgresql.org/docs/current/static/runtime-config.html

Formation administration PostgreSQL

Configuration de PostgreSQL

Configurer un cluster

Le fichier pg_hba.conf

Le fichier pg_hba.conf

Le fichier pg_hba.conf

Le fichier pg_hba.conf

Le fichier pg_ident.conf

le fichier pg_ident.conf

Le fichier pg_ident.conf

Le fichier postgresql.conf

Localisation de la configuration

La table pg_settings

La table pg_settings

Le fichier postgresql.auto.conf

Rechargement de la configuration

Pour obtenir de l'aide

Le fichier `pg_hba.conf`

Le fichier `pg_hba.conf`

Le fichier `pg_hba.conf`

Le fichier `pg_hba.conf`

Le fichier `pg_ident.conf`

le fichier `pg_ident.conf`

Le fichier `pg_ident.conf`

Le fichier `postgresql.conf`

La table `pg_settings`

La table `pg_settings`

Le fichier `postgresql.auto.conf`