다음 하위 섹션은 사설 토토 방법을 설명합니다
when신뢰사설 토토은입니다PostgreSQL가정합니다데이터베이스and사용자열은 여전히 적용됩니다. 이 방법이 있어야합니다
신뢰사설 토토이 적절합니다not그 자체로 적절한 a신뢰Multiuser 시스템에서도unix_socket_permissions(그리고 아마도unix_socket_group) 구성 매개 변수 ASPostgreSQL : 문서 : 9.2 : 토토 및 인증. 또는를 설정할 수 있습니다unix_socket_directory구성 매개 변수로
파일 시스템 권한 설정 설정 UNIX-Socket에만 도움이됩니다호스트 ... 127.0.0.1 ...라인에서pg_hba.conf또는 a로 변경하십시오신뢰사설 토토 방법.
신뢰사설 토토은 전용입니다pg_hba.conf지정하는 선신뢰. 사용하는 것은 합리적이지 않습니다신뢰다른 TCP/IP 연결의 경우LocalHost(127.0.0.1).
암호 기반 사설 토토 방법은입니다.MD5및비밀번호. 이것들
비밀번호에 대해 전혀 걱정하는 경우"스니핑"공격MD5선호됩니다. 솔직한비밀번호가능하면 항상 피해야합니다.MD5db_user_namespace기능. 연결이 SSL 암호화로 보호되면비밀번호안전하게 사용할 수 있습니다 (그러나
PostgreSQL데이터베이스pg_authid시스템 카탈로그. 암호는 될 수 있습니다사용자 만들기andALTER 역할, 예 :비밀번호 'Secret'을 사용하여 사용자 foo 생성. 아니오
gssapiisPostgreSQL지원GSSAPIwithKerberosRFC에 따른 사설 토토GSSAPI제공SSL사용됩니다.
언제gssapi용도Kerberos, 표준을 사용합니다ServiceName/hostname@Realm. 에 대한 정보섹션.
GSSAPI 지원을 활성화해야 할 때PostgreSQL건축되었습니다. 보다15 장자세한 내용은
다음 구성 옵션이 지원됩니다GSSAPI:
1으로 설정된 경우 사설 토토 된 영역 이름섹션 19.2). 이것은입니다PostgreSQL. 사용자는 할 수 있습니다
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다PostgreSQL : 문서 : 9.2 : 토토 이름 맵자세한 내용. GSSAPI/Kerberos 교장의 경우,username@example.com(또는 덜 일반적으로username/hostbased@example.com),사용자 이름(또는사용자 이름/호스트 기반, 각각),Include_Realm1으로 설정되었습니다username@example.com(또는username/hostbased@example.com)는 무엇입니까?
사용자 원금 이름에 맞게 영역을 설정합니다.
SSPIisWindows안전한 기술PostgreSQLsspi를 사용합니다협상사용되는 모드Kerberos가능하면 자동으로ntlm다른SSPI사설 토토WindowsGSSAPI가능합니다.
사용시Kerberos사설 토토,SSPIgssapi보다섹션 19.3.3
다음 구성 옵션이 지원됩니다SSPI:
1으로 설정된 경우 사설 토토 된 영역 이름섹션 19.2). 이것은입니다PostgreSQL. 사용자는 할 수 있습니다
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다PostgreSQL : 문서 : 9.2 : 토토 이름 맵자세한 내용. SSPI/Kerberos 교장의 경우username@example.com(또는username/hostbased@example.com), The사용자 이름(또는사용자 이름/호스트 기반, 각각),Include_Realm1으로 설정되었습니다username@example.com(또는username/hostbased@example.com)는 무엇입니까?
사용자 원금 이름과 일치하도록 영역을 설정합니다.
참고 :네이티브 Kerberos 사설 토토이있었습니다GSSAPI사설 토토 방법 (참조섹션 19.3.3)
KerberosisKerberos시스템은 그 이상입니다KerberosFAQ또는MIT Kerberos탐사를위한 좋은 출발점이 될 수 있습니다. 여러 개의Kerberos분포가 존재합니다.Kerberos보안 사설 토토을 제공하지만 쿼리를 암호화하지는 않습니다SSL.
postgresql지원PostgreSQL건축되었습니다. 보다15 장더 많은
PostgreSQLa처럼 작동합니다ServiceName/hostname@Realm.
ServiceName를 설정할 수 있습니다KRB_SRVNAME구성 매개 변수 및 클라이언트 측면에서krbsrvname연결 매개 변수. (보다PostgreSQL : 문서 : 9.2 : 데이터베이스 스포츠 토토 사이트 제어 기능.)Postgres빌드 시간을 사용하여./configure-with-krb-srvnam =무엇이든. 대부분의 환경에서, 이것PostgreSQL동일한 호스트의 설치.Postgres).
hostname는 완전히입니다
고객 교장이 있어야합니다PostgreSQL데이터베이스 사용자 이름으로pgusername@realm. 또는 a를 사용할 수 있습니다postgresql. 당신이 크로스 리알름이있는 경우KRB_REALM매개 변수 또는 활성화Include_Realm사용자 이름을 사용하십시오
서버 keytab 파일이 읽을 수 있는지 확인하십시오 (PostgreSQL서버 계정. (참조섹션 17.1.)의 위치KRB_SERVER_KEYFILE구성 매개 변수. 기본값은/usr/local/pgsql/etc/krb5.keytab(또는 무엇이든SYSCONFDIR빌드 시간).
KeyTab 파일은 Kerberos 소프트웨어에 의해 생성됩니다. 보다
Kadmin%Ank -randkey postgres/server.my.domain.org Kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
데이터베이스에 연결할 때 티켓이 있는지 확인하십시오.프레드,fred@example.comfred/users.example.com@example.com, 사용자를 사용하십시오섹션 19.2.
사용하는 경우mod_auth_kerb및mod_perlon아파치웹 서버, 사용할 수 있습니다AuthType KerberoSV5Savecredentialswithmod_perl스크립트. 이것은 제공합니다
다음 구성 옵션이 지원됩니다Kerberos:
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다PostgreSQL : 문서 : 9.2 : 토토 이름 맵자세한 내용.
1으로 설정된 경우 사설 토토 된 영역 이름섹션 19.2). 이것은
사용자 원금 이름과 일치하도록 영역을 설정합니다.
호스트 이름을 서비스 교장의 일부로 설정합니다.KRB_SRVNAME,KRB_SRVNAME/KRB_SERVER_HOSTNAME@영역. 설정하지 않으면 기본값은 다음과 같습니다
ID 사설 토토 방법은
참고 :로컬에 대해 ID가 지정된 경우섹션 19.3.7)
다음 구성 옵션이 지원됩니다ID:
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다PostgreSQL : 문서 : 9.2 : 토토 이름 맵자세한 내용.
the"식별 프로토콜"IS"어떤 사용자가 시작했는지x내 포트에 연결y? ". 부터PostgreSQL둘 다 알고 있습니다xandy물리적 연결이 설정되면 심문 할 수 있습니다
|
식별 프로토콜은 의도되지 않습니다 |
||
| --RFC 1413 | ||
일부 ID 서버에는 비표준 옵션이 있습니다.필수PostgreSQL이후PostgreSQL
피어 사설 토토 방법은
다음 구성 옵션이 지원됩니다피어:
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다PostgreSQL : 문서 : 9.2 : 토토 이름 맵자세한 내용.
피어 사설 토토은 운영 체제에서만 사용할 수 있습니다getPeereid ()함수,SO_PEERCRED소켓Linux, 대부분의 풍미BSD포함Mac OS X및Solaris.
이 사설 토토 방법은와 유사하게 작동합니다.비밀번호LDAP를 사용한다는 점을 제외하고
LDAP 사설 토토은 두 모드로 작동 할 수 있습니다. 첫 번째접두사 사용자 이름 접미사. 일반적으로접두사매개 변수는 지정하는 데 사용됩니다CN =또는도메인\접미사나머지를 지정하는 데 사용됩니다
두 번째 모드에서 서버는 먼저 LDAP에 바인딩합니다.ldapbinddn및ldapbindpasswd그리고 검색을 수행합니다ldapbasednldapsearchattribute. 속성이없는 경우UID속성이 될 것입니다
다음 구성 옵션이 지원됩니다
연결할 LDAP 서버의 이름 또는 IP 주소.
연결할 LDAP 서버의 포트 번호. 포트가 없다면
postgresql과
DN을 형성 할 때 사용자 이름으로 전부 할 문자열
DN을 형성 할 때 사용자 이름에 추가 할 문자열
Root DN, 사용자 검색을 시작합니다.
dn of user of user of user of directing director to perform
사용자가 디렉토리에 바인딩하는 비밀번호
검색에서 사용자 이름과 일치하는 속성
참고 :LDAP는 종종 쉼표와 공간을 사용하기 때문에
ldapserver = ldap.example.net ldapprefix = "cn ="ldapsuffix = ", dc = example, dc = net"
이 사설 토토 방법은와 유사하게 작동합니다.비밀번호반경을 사용하는 것을 제외하고
RADIUS 사설 토토을 사용할 때 액세스 요청 메시지사설 토토 만및사용자 이름,비밀번호(암호화) 및NAS 식별자. 요청이 암호화됩니다액세스또는액세스 거부. 거기 있습니다
다음 구성 옵션이 지원됩니다
연결할 RADIUS 서버의 이름 또는 IP 주소
공유 비밀은 단단히 대화 할 때 사용됩니다
참고 :사용 된 암호화 벡터는 전용입니다PostgreSQL는 지원하여 구축되었습니다OpenSSL. ~ 안에
RADIUS 서버의 포트 번호를 연결합니다. 만약에1812사용됩니다.
NAS반경 요청에서. 이 매개 변수PostgreSQL
이 사설 토토 방법은 SSL 클라이언트 사설 토토서를 사용합니다CN(공통 이름) 사설 토토서의 속성CN와 다릅니다
SSL에 대해 다음 구성 옵션이 지원됩니다
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다PostgreSQL : 문서 : 9.2 : 토토 이름 맵자세한 내용.
이 사설 토토 방법은와 유사하게 작동합니다.비밀번호PAM을 사용하는 것을 제외하고PostgreSQL. PAM은 사용자를 검증하는 데만 사용됩니다Linux-Pam페이지및SolarisPAM.
다음 구성 옵션이 지원됩니다
PAM 서비스 이름.
참고 :PAM이 읽기 위해 설정된 경우/etc/shadow, 사설 토토이 실패합니다