PostgreSQL 绿色版安装及初始化

程序下载地址：https://www.enterprisedb.com/download-postgresql-binaries

Step 1 下载及准备

下载适合自己的版本，解压到适当的目录；

Step 2 初始化

# 查看帮助
initdb --help

# 执行初始化
initdb -D data -E UTF-8 --locale=C -U User -W

# 注册系统服务
pg_ctl register -N PostgreSQL -D "D:\Program Files\pgsql\data"

设定系统变量

Step 3 启动

pg_ctl -D data -l logfile start

pg_hba.conf

在pg_hba.conf文件中，每条记录占一行，指定一条访问认证规则。

总的来说访问控制记录大致有以下7种形式：

local      database  user  auth-method  [auth-options]
host       database  user  address  auth-method  [auth-options]
hostssl    database  user  address  auth-method  [auth-options]
hostnossl  database  user  address  auth-method  [auth-options]
host       database  user  IP-address  IP-mask  auth-method  [auth-options]
hostssl    database  user  IP-address  IP-mask  auth-method  [auth-options]
hostnossl  database  user  IP-address  IP-mask  auth-method  [auth-options]

下面对每个字段分别进行说明。

连接方式(type)

连接方式有四种：local 、host、hostssl、hostnossl

local

这条记录匹配通过 Unix 域套接字进行的联接企图， 没有这种类型的记录，就不允许 Unix 域套接字的联接。

host

这条记录匹配通过TCP/IP网络进行的联接尝试.他既匹配通过ssl方式的连接，也匹配通过非ssl方式的连接。

注意：要使用该选项你要在postgresql.conf文件里设置listen_address选项，不在listen_address里的IP地址是无法匹配到的。因为默认的行为是只在localhost上监听本地连接。

hostssl

这条记录匹配通过在TCP/IP上进行的SSL联接企图。

要使用该选项，服务器编译时必须使用--with-openssl选项，并且在服务器启动时ssl设置是打开的，具体内容可见这里。

hostnossl

这个和上面的hostssl相反，只匹配通过在TCP/IP上进行的非SSL联接企图。

数据库(database)

声明记录所匹配的数据库。

值 all 表明该记录匹配所有数据库;

值 sameuser表示如果被请求的数据库和请求的用户同名，则匹配;

值samegroup 表示请求的用户必须是一个与数据库同名的组中的成员;

值 replication 表示匹配一条replication连接，它不指定一个特定的数据库，一般在流复制中使用;

在其他情况里，这就是一个特定的 PostgreSQL 数据库的名字。 我们可以通过用逗号分隔的方法声明多个数据库。 一个包含数据库名的文件可以通过对该文件前缀 @ 来声明．该文件必需和 pg_hba.conf 在同一个目录。

用户名(user)

为这条记录声明所匹配的 PostgreSQL 用户，值 all 表明它匹配 于所有用户。否则，它就是特定 PostgreSQL 用户的名字，多个用户名可以通过用逗号分隔的方法声明，在名字前面加上+代表匹配该用户组的所有用户。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明，该文件必需和 pg_hba.conf 在同一个目录。

主机地址(address)

指定匹配的客户端的地址，它可以是一个主机名，一个IP地址范围，或者下面提到的这些选项。

一个IP地址范围是一个标准的点分十进制表示的 IP地址/掩码值。注意， 在'IP地址','/'和'掩码值'之间不要有任何的空白字符。

比如对于IPv4地址来说， 172.20.143.89/32指定单个主机的IP，172.20.143.0/24代表一个小的子网。对于IPv6地址来说，::1/128指定单个主机(这里是本机环回地址)，fe80::7a31:c1ff:0000:0000/96 指定一个IPv6的子网。0.0.0.0/0代表所有IPv4地址，::0/0代表所有IPv6地址。

一个IPv4地址选项只能匹配IPv4地址，一个IPv6地址选项只能匹配IPv6地址，即使给出的地址选项在IPV4和IPv6中同时存在。

当然你可以使用 all 选项来匹配所有的IP地址，使用 samehost 匹配服务器自己所有的IP地址，samenet来匹配服务器直接接入的子网。

如果指定的是主机名(既不是IP地址也不是上面提到的选项)，这个主机名将会和发起连接请求的客户端的IP地址的反向名称解析结果(即通过客户端的IP解析其主机名，比如使用反向DNS查找)进行比对，如果存在匹配，再使用正向名称解析(例如DNS查找)将主机名解析为IP地址(可能有多个IP地址)，再判断客户端的IP地址是否在这些IP地址中。如果正向和反向解析都成功匹配，那么就真正匹配这个地址(所以在pg_nba.conf文件里的主机地址必须是客户端IP的 address-to-name 解析返回的那个主机名。一些主机名数据库允许将一个IP地址和多个主机名绑定,但是在解析IP地址时，操作系统只会返回一个主机名)。

有些主机名以点(.)开头，匹配那些具有相同后缀的主机名，比如.example.com匹配foo.example.com(当然不仅仅只匹配foo.example.com)。

还有，在pg_hba.conf文件中使用主机名的时候，你最好能保证主机名的解析比较快，一个好的建议就是建立一个本地的域名解析缓存(比如nscd)。

本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。

ip地址(ip-address)、子网掩码(ip-mask)

这两个字段包含可以看成是标准点分十进制表示的 IP地址/掩码值的一个替代。例如。使用255.255.255.0 代表一个24位的子网掩码。它们俩放在一起，声明了这条记录匹配的客户机的 IP 地址或者一个IP地址范围。本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。

认证方法（authentication method）

trust

无条件地允许联接，这个方法允许任何可以与PostgreSQL 数据库联接的用户以他们期望的任意 PostgreSQL 数据库用户身份进行联接，而不需要口令。

reject

联接无条件拒绝，常用于从一个组中"过滤"某些主机。

md5

要求客户端提供一个 MD5 加密的口令进行认证，这个方法是允许加密口令存储在pg_shadow里的唯一的一个方法。

password

和"md5"一样，但是口令是以明文形式在网络上传递的，我们不应该在不安全的网络上使用这个方式。

gss

使用GSSAPI认证用户，这只适用于 TCP/IP 连接。

sspi

使用SSPI认证用户，这只适用于 Windows 连接。

peer

获取客户端的操作系统的用户名并判断他是否匹配请求的数据库名，这只适用于本地连接。

ldap

使用LDAP服务进行验证。

radius

使用RADIUS服务进行验证。

cert

使用SSL服务进行验证。

pam

使用操作系统提供的可插入的认证模块服务 （Pluggable Authentication Modules）（PAM）来认证。