gssapi|RFC 2743. PostgreSQL지원gssapi사설 토토 사이트, 통신 암호화 또는 둘 다.gssapi이를 지원하는 시스템에 자동 인증 (단일 사인온)을 제공합니다. 인증 자체가 안전합니다.gssapi암호화 또는SSL암호화가 사용되면 데이터베이스 연결을 따라 전송 된 데이터가 암호화됩니다. 그렇지 않으면 그렇지 않습니다.

GSSAPI 지원을 활성화해야 할 때PostgreSQL건축되었습니다. 보다17 장자세한 내용은

언제gssapi용도Kerberos, 형식의 표준 서비스 원금 (사설 토토 사이트 ID) 이름을 사용합니다ServiceName/hostname@영역. 특정 설치에서 사용되는 주요 이름은에서 인코딩되지 않습니다.PostgreSQL어떤 식 으로든 서버; 오히려 그것은에 지정됩니다.keytab서버가 신분을 결정하기 위해 읽는 파일. 여러 교장이 KeyTab 파일에 나열되면 서버는 그 중 하나를 허용합니다.

연결할 때 클라이언트는 연결하려는 서버의 주요 이름을 알아야합니다. 그만큼ServiceName교장의 일부는 일반적으로Postgres, 그러나 다른 값을 통해 선택할 수 있습니다libpq'skrbsrvname연결 매개 변수. 그만큼hostname부품은 완전히 자격을 갖춘 호스트 이름입니다.libpq연결하라는 지시를받습니다. 영역 이름은 클라이언트가 액세스 할 수있는 Kerberos 구성 파일에 지정된 선호되는 영역입니다.

고객은 또한 자체 신원의 주요 이름을 갖습니다 (이 교장을위한 유효한 티켓이 있어야 함). 사용하려면gssapi사설 토토 사이트의 경우, 고객 교장은 A와 연관되어 있어야합니다.PostgreSQL데이터베이스 사용자 이름. 그만큼pg_ident.conf구성 파일을 사용하여 원칙을 사용자 이름에 매핑 할 수 있습니다. 예를 들어,pgusername@realmjust에 매핑 될 수 있습니다pgusername. 또는 전체를 사용할 수 있습니다username@realm교장의 역할 이름으로PostgreSQL매핑없이.

PostgreSQL또한 교장에서 영역을 제거하여 클라이언트 원칙을 사용자 이름에 매핑하는 것을 지원합니다. 이 방법은 거꾸로 호환성을 위해 지원되며 다른 사용자를 동일한 사용자 이름으로 구별하지만 다른 영역에서 나오는 것은 불가능하기 때문에 강력하게 낙담합니다.Include_Realm~ 0. 간단한 단일-실험 설치의 경우를 결합하여KRB_REALM매개 변수 (교장의 영역이 정확히 일치하는지 확인합니다KRB_REALM매개 변수)는 여전히 안전합니다. 그러나 이것은 명시 적 매핑을 지정하는 것과 비교하여 덜 유능한 접근법입니다.pg_ident.conf.

서버의 keytab 파일의 위치는에 의해 지정됩니다.KRB_SERVER_KEYFILE구성 매개 변수. 보안상의 이유로,에만 별도의 keytab을 사용하는 것이 좋습니다.PostgreSQL서버가 System keyTab 파일을 읽지 않고 서버. 서버 keytab 파일을 읽을 수 있고 (그리고 바람직하게는 읽기 만하면, 쓰기가 불가능한 지 확인하십시오PostgreSQL서버 계정. (참조섹션 18.1.)

KeyTab 파일은 Kerberos 소프트웨어를 사용하여 생성됩니다. 자세한 내용은 Kerberos 문서를 참조하십시오.KadminMIT Kerberos의 도구 :

Kadmin%addprinc -randkey postgres/server.my.domain.org
Kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org

다음 인증 옵션은에 지원됩니다.gssapi사설 토토 사이트 방법 :

이 설정 외에도 다를 수 있습니다pg_hba.conf항목, 서버 전체가 있습니다KRB_CASEINS_USERS구성 매개 변수. 그것이 true로 설정된 경우, 클라이언트 원칙은 사용자 맵 항목과 일치합니다.KRB_REALM, 세트가 경우에도 사례에 관계없이 일치합니다.