客户端访问KingbaseES数据库，需要建立身份的认证，sys_hba.conf相当于认证的黑白名单，可以通过配置sys_hba.conf允许或拒绝客户端对数据库服务器的访问。

sys_hba.conf原理：

• 客户端认证是由一个配置文件（通常名为sys_hba.conf并被存放在数据库集簇目录中）控制（HBA表示基于主机的认证）。
• 在initdb初始化数据目录时，它会安装一个默认的sys_hba.conf文件。
• sys_hba.conf文件的常用格式是一组记录，每行一条。空白行将被忽略， #注释字符后面的任何文本也被忽略。记录不能跨行。
• 每条记录指定一种连接类型、一个客户端 IP 地址范围（如果和连接类型相关）、一个数据库名、一个用户名
• 以及对匹配这些参数的连接使用的认证方法。第一条匹配连接类型、客户端地址、连接请求的数据库和用户名的记录将被用于执行认证。
• 如果选择了一条记录而且认证失败，那么将不再考虑后面的记录。如果没有匹配的记录，那么访问将被拒绝。

案例一：
拒绝客户端本地socket和127.0.0.1连接登录，只能通过本机ip以TCP/IP连接方式登录：
1）sys_hba.conf配置

# TYPE  DATABASE        USER            ADDRESS                 METHOD
# "local" is for Unix domain socket connections only
local   all             all                                      reject
# IPv4 local connections:
host    all             all             127.0.0.1/32             reject
host    all             all             10.8.3.20/24             scram-sha-256
host    all             all             0.0.0.0/0                scram-sha-256

2）数据库服务reload后登录
如下所示，本地socket和127.0.0.1连接被拒绝，通过本地ip连接登录成功。

[kingbase@node1 bin]$ ./ksql -h 10.8.3.20 -U system test
ksql (V8.0)
Type "help" for help.[kingbase@node1 bin]$ ./ksql -h 127.0.0.1 -U system test
ksql: error: could not connect to server: FATAL:  no sys_hba.conf entry for host "127.0.0.1", user "system", database "test", SSL off[kingbase@node1 bin]$ ./ksql -U system test
ksql: error: could not connect to server: FATAL:  no sys_hba.conf entry for host "[local]", user "system", database "test", SS