granicus.if.org Git - postgresql/blob - src/backend/libpq/pg_hba.conf.sample

   1 #
   2 # Example PostgreSQL host access control file.
   3 #
   4 #
   5 # This file controls what hosts are allowed to connect to what databases
   6 # and specifies some options on how users on a particular host are identified.
   7 # It is read each time a host tries to make a connection to a database.
   8 #
   9 # Each line (terminated by a newline character) is a record.  A record cannot
  10 # be continued across two lines.
  11 #
  12 # There are 3 kinds of records:
  13 #
  14 #   1) comment:  Starts with #.
  15 #
  16 #   2) empty:  Contains nothing excepting spaces and tabs.
  17 #
  18 #   3) content: anything else.
  19 #
  20 # Unless specified otherwise, "record" from here on means a content
  21 # record.
  22 #
  23 # A record consists of tokens separated by spaces or tabs.  Spaces and
  24 # tabs at the beginning and end of a record are ignored as are extra
  25 # spaces and tabs between two tokens.
  26 #
  27 # The first token in a record is the record type.  The interpretation of the
  28 # rest of the record depends on the record type.
  29 #
  30 # Record type "host"
  31 # ------------------
  32 #
  33 # This record identifies a set of network hosts that are permitted to connect
  34 # to databases.  No network hosts are permitted to connect except as specified
  35 # by a "host" record.  See the record type "local" to specify permitted
  36 # connections using UNIX sockets.
  37 #
  38 # Format:
  39 #
  40 #   host DBNAME IP_ADDRESS ADDRESS_MASK USERAUTH [AUTH_ARGUMENT]
  41 #
  42 # DBNAME is the name of a Postgres database, or "all" to indicate all
  43 # databases.
  44 #
  45 # IP_ADDRESS and ADDRESS_MASK are a standard dotted decimal IP address and
  46 # mask to identify a set of hosts.  These hosts are allowed to connect to
  47 # Database DBNAME.
  48 #
  49 # USERAUTH is a keyword indicating the method used to authenticate the
  50 # user, i.e. to determine that the principal is authorized to connect
  51 # under the Postgres username he supplies in his connection parameters.
  52 #
  53 #   ident:  Authentication is done by the ident server on the remote
  54 #           host, via the ident (RFC 1413) protocol.  AUTH_ARGUMENT, if
  55 #           specified, is a map name to be found in the pg_ident.conf file.
  56 #           That table maps from ident usernames to Postgres usernames.  The
  57 #           special map name "sameuser" indicates an implied map (not found
  58 #           in pg_ident.conf) that maps every ident username to the identical
  59 #           Postgres username.
  60 #
  61 #   trust:  No authentication is done.  Trust that the user has the
  62 #           authority to user whatever username he says he does.
  63 #           Before Postgres Version 6, all authentication was this way.
  64 #
  65 #   reject: Reject the connection.
  66 #
  67 #   password:  Authentication is done by matching a password supplied in clear
  68 #              by the host.  If AUTH_ARGUMENT is specified then the password is
  69 #              compared with the user's entry in that file (in the $PGDATA
  70 #              directory).  See pg_passwd(1).  If it is omitted then the
  71 #              password is compared with the user's entry in the pg_shadow
  72 #              table.
  73 #
  74 #   crypt:  Authentication is done by matching an encrypted password supplied
  75 #           by the host with that held for the user in the pg_shadow table.
  76 #
  77 #   krb4:   Kerberos V4 authentication is used.
  78 #
  79 #   krb5:   Kerberos V5 authentication is used.
  80
  81 # Record type "local"
  82 # ------------------
  83 #
  84 # This record identifies the authentication to use when connecting to a
  85 # particular database via a local UNIX socket.
  86 #
  87 # Format:
  88 #
  89 #   local DBNAME USERAUTH [AUTH_ARGUMENT]
  90 #
  91 # The format is the same as that of the "host" record type except that the
  92 # IP_ADDRESS and ADDRESS_MASK are omitted and the "ident", "krb4" and "krb5"
  93 # values of USERAUTH are no allowed.
  94
  95 # For backwards compatibility, PostgreSQL also accepts pre-Version 6 records,
  96 # which look like:
  97 #
  98 #   all         127.0.0.1    0.0.0.0
  99
 100 # TYPE       DATABASE    IP_ADDRESS    MASK              USERAUTH  MAP
 101
 102 #host         all         127.0.0.1     255.255.255.255   trust
 103
 104 # The above allows any user on the local system to connect to any database
 105 # under any username.
 106
 107 #host         template1   192.168.0.0   255.255.255.0     ident     sameuser
 108
 109 # The above allows any user from any host with IP address 192.168.0.x to
 110 # connect to database template1 as the same username that ident on that host
 111 # identifies him as (typically his Unix username).
 112
 113 #host         all        192.168.0.1   255.255.255.255   reject
 114 #host         all        0.0.0.0       0.0.0.0           trust
 115
 116 # The above would allow anyone anywhere except from 192.168.0.1 to connect to
 117 # any database under any username.
 118
 119 #host         all        192.168.0.0  255.255.255.0      ident     omicron
 120 #
 121 # The above would allow users from 192.168.0.x hosts to connect to any
 122 # database, but if e.g. Ident says the user is "bryanh" and he requests to
 123 # connect as Postgres user "guest1", the connection is only allowed if
 124 # there is an entry for map "omicron" in pg_ident.conf that says "bryanh" is
 125 # allowed to connect as "guest1".
 126
 127 # By default, allow anything over UNIX domain sockets and localhost.
 128
 129 local        all                                         trust
 130 host         all         127.0.0.1     255.255.255.255   trust