【IT68 评论】当谈到开源数据库时,MySQL获得了业界大部分的注意力,IT168之前也曾报道过《开源数据库受热捧 MySQL数据库继续流行》。MySQL是一个易于使用的数据库,同时有许多开源的Web应用程序都是直接在它上面开发的。不过也有异样的声音,比如PostgreSQL创始人:MySQL衰退属必然。
另外一种主要的开源数据库是PostgreSQL,虽然它也是众所周知的,但是却没有获得像MySQL所得到的认可。这是很不幸的,因为在这两者中,相比MySQL,PostgreSQL能提供更加安全、更加可靠、数据也更加完整的服务。
但是,这同样也有一定的缺陷。PostgreSQL对于设置和使用的要求比较高,它利用的是特殊权限、底层操作系统的安全性以及数据库内提供的角色(roles)和特权。如果你对这些东西不够了解的话,会使得PostgreSQL的使用变得困难。但一旦你掌握了它们,你就可以像使用MySQL一样很容易的使用PostgreSQL。
与MySQL相类似,PostgreSQL的工作基于这样一种原则,即特定的用户有特定的数据访问权限。在PostgreSQL里,这些被称之为“角色(roles)”,通过采用CREATE ROLE, ALTER ROLE, and DROP ROLE这些语句可以创建和管理它们。和MySQL不同的是,这些“角色”可以映射和绑定到系统的用户,这就意味着它可以利用不同形式的体系认证:ident server authentication、LDAP server authentication、PAM和Kerberos。而对于本地连接,你也可以通过使用这些文件体系的权限来确定谁可以访问Unix域套接字,以及它的位置。
PostgreSQL中,访问控制的方法是使用pg_hba.conf。对于身份识别,也可采用pg_ident.conf;这可以用于将数据库用户映射到本地用户。假如用户“joe”是允许访问的PostgreSQL用户数据库“joe”和“电子商务”。pg_hba.conf文件包含如下:
而pg_ident.conf可能会包括:
这就允许系统用户“joe”作为“joe”或者“ecommerce.”来访问数据库。它也允许系统“postgres”用户以“joe”的身份连接到数据库。同时强化对于名字为“esite”识别方法的映射类型,如在pg_ident.conf中所定义的那样。这就意味着在本地类型(Unix域套接字)和本地TCP/IP地址(127.0.0.1)中,只有joe和postgres能够连接到数据库。没有其他的用户有权来访问它。
这种识别方法是一种很好的方式,用于控制哪一个本地用户可以连接到哪一个数据库。这种方法只对本地主机(TCP/IP 或者UNIX 域套接字)的连接起作用,而对于远程控制是无效的。
虽然对于那些习惯使用MySQL的人来说这看起来似乎有点混乱,但目前对具有这种认证精度的数据库的需求确是实实在在的。MySQL只支持基于登录证书的身份验证,而这些证书只由数据库本身进行储存和管理。
另一方面,PostgreSQL不仅允许这种采用密码机制的身份验证,而且允许采用无密码的身份验证。这些验证机制包括像讨论的认证机制、PAM(其中规定了许多有意思的验证方案)以及LDAP 和 Kerberos。Kerberos是一种在MySQL使用多年的方式(事实上,出现于2004年11月的MySQL错误#6733就需要得到Kerberos的支持)。许多公司的偏好Kerberos和LDAP密码存储目录,这就使得PostgreSQL成为了一个引人关注的数据库。
还有其他很多特色使得PostgreSQL更加适用于企业。虽然安全性很重要,但除此之外PostgreSQL对于数据完整性、访问控制、ACID规则以及其他一些重要方面的关注和支持,都很好的解释了在众多的数据库管理者中为什么PostgreSQL享有如此高的赞誉。