언제신뢰토토 사이트 순위이 지정되어 있습니다.postgresql서버에 연결할 수있는 사람은 지정한 데이터베이스 사용자 이름 (SuperUser 이름)으로 데이터베이스에 액세스 할 수있는 권한이 있다고 가정합니다. 물론,에서 제한이 제한됩니다.데이터베이스and사용자열은 여전히 ​​적용됩니다. 이 방법은 서버에 대한 연결에 적절한 운영 시스템 수준 보호가있을 때만 사용해야합니다.

신뢰인증은 단일 사용자 워크 스테이션의 로컬 연결에 적합하고 매우 편리합니다. 일반적으로아님다중 사용자 기계에 적합합니다. 그러나 사용할 수 있습니다신뢰다중 사용자 시스템에서도 파일 시스템 권한을 사용하여 서버의 UNIX-Domain 소켓 파일에 대한 액세스를 제한하는 경우. 이렇게하려면를 설정하십시오.unix_socket_permissions(그리고 아마도unix_socket_group) 구성 매개 변수에 설명 된PostgreSQL : 문서 : 10 : 19.3. 배트맨 토토 및 인증. 또는를 설정할 수 있습니다unix_socket_directories구성 매개 변수 소켓 파일을 적절하게 제한된 디렉토리에 배치합니다.

파일 시스템 권한 설정 UNIX- 소켓 연결에만 도움이됩니다. 로컬 TCP/IP 연결은 파일 시스템 권한으로 제한되지 않습니다. 따라서 지역 보안에 파일 시스템 권한을 사용하려면를 제거하십시오.호스트 ... 127.0.0.1 ...라인에서pg_hba.conf또는 비로 변경하십시오.신뢰토토 사이트 순위 방법.

신뢰토토 사이트 순위은 TCP/IP 연결에만 적합합니다.PG_HBA.conf지정하는 선신뢰. 사용하는 것은 합리적이지 않습니다신뢰|LocalHost(127.0.0.1).

몇 가지 암호 기반 인증 방법이 있습니다. 이러한 방법은 비슷하게 작동하지만 사용자의 암호가 서버에 저장되는 방식과 클라이언트가 제공 한 암호가 연결을 통해 전송되는 방식이 다릅니다.

postgresql데이터베이스 암호는 운영 체제 사용자 암호와 별개입니다. 각 데이터베이스 사용자의 비밀번호는에 저장됩니다.pg_authid시스템 카탈로그. 비밀번호는 SQL 명령으로 관리 할 수 ​​있습니다사용자 만들기andALTER 역할, 예 :비밀번호 'Secret'을 사용하여 사용자 foo 생성또는PSQL명령\ password. 사용자에 대한 비밀번호가 설정되지 않은 경우 저장된 비밀번호는 NULL이고 비밀번호 인증은 해당 사용자에게 항상 실패합니다.

다른 비밀번호 기반 인증 방법의 가용성은 서버의 사용자 비밀번호가 암호화되는 방식 (또는 더 정확하게 해시)에 달려 있습니다. 이것은 구성 매개 변수에 의해 제어됩니다password_encryption시대에 비밀번호가 설정되었습니다. 암호가를 사용하여 암호화 된 경우Scram-Sha-256설정, 인증 방법에 사용할 수 있습니다Scram-Sha-256and비밀번호(그러나 후자의 경우 비밀번호 전송은 일반 텍스트로 표시됩니다). 인증 방법 사양MD5사용 사용으로 자동 전환Scram-Sha-256이 경우 위에서 설명한대로 메소드가 작동하므로 작동합니다. 암호가를 사용하여 암호화 된 경우MD5설정, 그러면에만 사용할 수 있습니다MD5and암호인증 메소드 사양 (후자의 경우 비밀번호가 일반 텍스트로 전송 된 상태). (이전 PostgreSQL 릴리스 지원 지원서 서버에 비밀번호를 저장하여 더 이상 불가능합니다.) 현재 저장된 비밀번호 해시를 확인하려면 시스템 카탈로그를 참조하십시오.pg_authid.

기존 설치를 업그레이드하려면MD5toScram-Sha-256, 사용중인 모든 클라이언트 라이브러리가 SCRAM을 지원하기에 충분히 새로운 지 확인한 후password_encryption = 'scram-sha-256'inpostgresql.conf, 모든 사용자가 새 비밀번호를 설정하고 인증 메소드 사양을 변경하여pg_hba.conftoScram-Sha-256.

GSSAPIRFC 2743에 정의 된 보안 토토 사이트 순위을위한 산업 표준 프로토콜입니다.PostgreSQL지원GSSAPIwithKerberosRFC 1964에 따른 토토 사이트 순위GSSAPI이를 지원하는 시스템에 자동 인증 (단일 사인온)을 제공합니다. 인증 자체는 안전하지만 데이터베이스 연결을 통해 전송 된 데이터는 암호화되지 않은 채 전송됩니다.SSL사용됩니다.

GSSAPI 지원을 활성화해야 할 때PostgreSQL건축되었습니다. 보다16 장자세한 내용은

언제GSSAPI용도Kerberos, 형식의 표준 원칙을 사용합니다ServiceName/hostname@Realm. PostgreSQL 서버는 서버가 사용하는 키 탭에 포함 된 모든 원칙을 수락하지만를 사용하여 클라이언트의 연결을 할 때 올바른 주요 세부 정보를 지정하려면 CARE를 사용해야합니다.krbsrvname연결 매개 변수. (참조섹션 33.1.2.) 설치 기본값을 기본값에서 변경할 수 있습니다Postgres빌드 시간을 사용하여./configure-with-krb-srvnam =무엇이든. 대부분의 환경 에서이 매개 변수는 변경 될 필요가 없습니다. 일부 Kerberos 구현은 서비스 이름을 대문자로 받아야하는 Microsoft Active Directory와 같은 다른 서비스 이름이 필요할 수 있습니다 (Postgres).

hostname는 서버 시스템의 자격을 갖춘 호스트 이름입니다. 서비스 교장의 영역은 서버 시스템의 선호되는 영역입니다.

클라이언트 교장은 다른 것에 매핑 할 수 있습니다PostgreSQL데이터베이스 사용자 이름pg_ident.conf. 예를 들어,pgusername@realm그냥 맵핑 할 수 있습니다pgusername. 또는 전체를 사용할 수 있습니다username@realm교장의 역할 이름으로PostgreSQL매핑없이.

PostgreSQL또한 원칙에서 영역을 제거하기위한 매개 변수를 지원합니다. 이 방법은 거꾸로 호환성을 위해 지원되며 다른 사용자를 동일한 사용자 이름으로 구별하지만 다른 영역에서 나오는 것은 불가능하기 때문에 강력하게 낙담합니다. 이를 가능하게하려면 설정Include_Realm~ 0. 간단한 단일-실시 설치의 경우, 설정과 결합 된KRB_REALM매개 변수 (교장의 영역이 정확히 일치하는지 확인합니다KRB_REALM매개 변수)는 여전히 안전합니다. 그러나 이것은 명시 적 매핑을 지정하는 것과 비교하여 덜 유능한 접근법입니다.pg_ident.conf.

서버 keytab 파일이 읽을 수 있고 (바람직하게는 읽을 수 있고, 쓸 수없고)PostgreSQL서버 계정. (참조토토 : 문서 : 10 : 18.1. 토토 사용자 계정.) 키 파일의 위치는에 의해 지정됩니다.KRB_SERVER_KEYFILE구성 매개 변수. 기본값은/usr/local/pgsql/etc/krb5.keytab(또는 디렉토리가 지정된 모든 디렉토리Sysconfdir빌드 시간). 보안상의 이유로,에만 별도의 keytab을 사용하는 것이 좋습니다.PostgreSQLSystem keytab 파일에서 권한을 열지 않고 서버

KeyTab 파일은 Kerberos 소프트웨어에 의해 생성됩니다. 자세한 내용은 Kerberos 문서를 참조하십시오. 다음 예는 MIT 호환 Kerberos 5 구현에 대한 것입니다.

Kadmin%Ank -randkey postgres/server.my.domain.org
Kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org

데이터베이스에 연결할 때 요청 된 데이터베이스 사용자 이름과 일치하는 주요 티켓이 있는지 확인하십시오. 예를 들어, 데이터베이스 사용자 이름의 경우Fred, Principalfred@example.com연결할 수 있습니다. 또한 교장을 허용하려면fred/users.example.com@example.com,에 설명 된대로 사용자 이름 맵을 사용하십시오.PostgreSQL : 문서 : 10 : 20.2. 토토 캔 이름지도.

다음 구성 옵션이 지원됩니다GSSAPI:

SSPIisWindows단일 사인온을 사용한 보안 토토 사이트 순위 기술.PostgreSQLsspi를 사용합니다협상사용되는 모드Kerberos가능하면 자동으로 다시 떨어집니다ntlm다른 경우.SSPI토토 사이트 순위은 서버와 클라이언트가 모두 실행중인 경우에만 작동합니다WindowsGSSAPI사용 가능합니다.

사용시Kerberos토토 사이트 순위,SSPI같은 방식으로 작동GSSAPI보다섹션 20.3.3자세한 내용.

다음 구성 옵션이 지원됩니다.SSPI:

ID 인증 메소드는 ID 서버에서 클라이언트 운영 체제 사용자 이름을 얻고 허용 된 데이터베이스 사용자 이름 (선택적 사용자 이름 매핑)으로 사용하여 작동합니다. 이것은 TCP/IP 연결에서만 지원됩니다.

다음 구성 옵션이 지원됩니다ID:

the“식별 프로토콜”RFC 1413에 설명되어 있습니다. 사실상 모든 UNIX와 같은 운영 체제는 기본적으로 TCP 포트 113에서 청취하는 ID 서버와 함께 제공됩니다. ID 서버의 기본 기능은와 같은 질문에 답하는 것입니다.“포트에서 나오는 연결을 시작한 사용자x내 포트에 연결y?”. 부터PostgreSQL둘 다 알고 있습니다xandy물리적 연결이 설정되면 연결 클라이언트의 호스트에서 ID 서버를 심문 할 수 있으며 주어진 연결에 대한 운영 체제 사용자를 이론적으로 결정할 수 있습니다..

이 절차의 단점은 클라이언트의 무결성에 달려 있다는 것입니다. 클라이언트 시스템이 신뢰할 수 없거나 손상된 경우 공격자는 포트 113에서 거의 모든 프로그램을 실행하고 선택한 사용자 이름을 반환 할 수 있습니다. 따라서이 인증 방법은 각 클라이언트 시스템이 엄격한 제어하에있는 폐쇄 된 네트워크와 데이터베이스 및 시스템 관리자가 긴밀한 연락처로 작동하는 경우에만 적합합니다. 즉, ID 서버를 실행하는 컴퓨터를 신뢰해야합니다. 경고에 귀를 기울인다 :

일부 ID 서버에는 원산지 관리자 만 알고있는 키를 사용하여 반환 된 사용자 이름을 암호화하는 비표준 옵션이 있습니다. 이 옵션필수ident 서버를 사용할 때 사용하십시오PostgreSQL이후PostgreSQL실제 사용자 이름을 결정하기 위해 반환 된 문자열을 해독하는 방법이 없습니다.

피어 인증 방법은 커널에서 클라이언트 운영 체제 사용자 이름을 얻고 허용 된 데이터베이스 사용자 이름 (선택적 사용자 이름 매핑)으로 사용하여 작동합니다. 이 방법은 로컬 연결에서만 지원됩니다.

다음 구성 옵션이 지원됩니다피어:

피어 인증은 운영 체제에서만 사용할 수 있습니다getPeereid ()함수,SO_PEERCRED소켓 매개 변수 또는 유사한 메커니즘. 현재 포함Linux, 대부분의 풍미BSD포함MacOS및Solaris.

이 인증 방법은와 유사하게 작동합니다.비밀번호비밀번호 검증 방법으로 LDAP를 사용하는 것을 제외하고. LDAP는 사용자 이름/비밀번호 쌍을 검증하는 데만 사용됩니다. 따라서 LDAP를 인증에 사용하기 전에 사용자는 이미 데이터베이스에 존재해야합니다.

LDAP 인증은 두 모드로 작동 할 수 있습니다. 단순 바인드 모드를 호출하는 첫 번째 모드에서 서버는로 구성된 Distinguished Name에 바인딩됩니다.접두사 사용자 이름 접미사. 일반적으로prefix매개 변수는 지정하는 데 사용됩니다CN =, 또는도메인\활성 디렉토리 환경에서.접미사비활성 디렉토리 환경에서 DN의 나머지 부분을 지정하는 데 사용됩니다.

Search+Bind 모드를 호출하는 두 번째 모드에서 서버는 먼저 고정 된 사용자 이름과 비밀번호를 사용하여 LDAP 디렉토리에 바인딩합니다.ldapbinddnandldapbindpasswd, 데이터베이스에 로그인하려는 사용자를 검색합니다. 사용자와 암호가 구성되지 않으면 익명 바인드가 디렉토리로 시도됩니다. 검색은 하위 트리를 통해 수행됩니다.ldapbasednldapsearchattribute. 이 검색에서 사용자가 발견되면 서버는 클라이언트가 지정된 암호를 사용 하여이 사용자로 디렉토리를 연결 해제하고 다시 바인딩하여 로그인이 올바른지 확인합니다. 이 모드는 Apache와 같은 다른 소프트웨어에서 LDAP 인증 체계에서 사용하는 것과 동일합니다.mod_authnz_ldapandPAM_LDAP. 이 방법은 사용자 객체가 디렉토리에있는 위치에서 훨씬 더 많은 유연성을 허용하지만 LDAP 서버에 대한 두 가지 별도의 연결이 이루어집니다..

다음 구성 옵션은 두 모드 모두에서 사용됩니다.

다음 옵션은 간단한 바인드 모드에서만 사용됩니다 :

다음 옵션은 검색+바인드 모드에서만 사용됩니다 :

검색+바인드 옵션과 간단한 바인드에 대한 구성 옵션을 혼합하는 오류입니다.

간단한 BIND LDAP 구성의 예는 다음과 같습니다.

host ... ldap ldapserver = ldap.example.net ldapprefix = "cn ="ldapsuffix = ", dc = example, dc = net"

데이터베이스 서버에 데이터베이스 사용자로 연결되는 경우대단한요청됩니다. PostgreSQL은 DN을 사용하여 LDAP 서버에 바인딩하려고 시도합니다CN = Noduser, DC = 예제, dc = net및 클라이언트가 제공하는 비밀번호. 해당 연결이 성공하면 데이터베이스 액세스가 승인됩니다.

검색+바인드 구성의 예는 다음과 같습니다.

호스트 ... ldap ldapserver = ldap.example.net ldapbasedn = "dc = example, dc = net"ldapsearchattribute = uid

데이터베이스 서버에 데이터베이스 사용자로 연결되는 경우대단한요청됩니다. PostgreSQL은 익명으로 바인딩하려고 시도합니다 (이후ldapbinddn지정되지 않음) LDAP 서버를 위해 검색을 수행하십시오(uid = syanduser)지정된 기본 DN 아래. 항목이 발견되면 해당 발견 된 정보와 클라이언트가 제공하는 비밀번호를 사용하여 바인딩하려고 시도합니다. 두 번째 연결이 성공하면 데이터베이스 액세스가 부여됩니다.

URL로 작성된 동일한 검색+바인드 구성이 있습니다 :

host ... ldap ldapurl = "ldap : //ldap.example.net/dc=example ,dc=net? uid? sub"

LDAP에 대한 인증을 지원하는 다른 소프트웨어는 동일한 URL 형식을 사용하므로 구성을 더 쉽게 공유 할 수 있습니다..

이 인증 방법은와 유사하게 작동합니다.비밀번호반경을 암호 검증 방법으로 사용한다는 점을 제외하고. 반경은 사용자 이름/비밀번호 쌍을 검증하는 데만 사용됩니다. 따라서 RADIUS를 인증에 사용하기 전에 사용자는 이미 데이터베이스에 존재해야합니다.

RADIUS 토토 사이트 순위을 사용하면 액세스 요청 메시지가 구성된 RADIUS 서버로 전송됩니다. 이 요청은 유형입니다토토 사이트 순위 만, 그리고에 대한 매개 변수 포함사용자 이름, 비밀번호(암호화) 및NAS 식별자. 요청은 서버와 공유되는 비밀을 사용하여 암호화됩니다. Radius Server는이 요청에 중 어느 쪽이든 응답합니다.액세스 허가또는액세스 거부. 반경 회계에 대한 지원이 없습니다.

다중 반경 서버를 지정할 수 있으며,이 경우 순차적으로 시도됩니다. 서버에서 부정적인 응답을 받으면 토토 사이트 순위이 실패합니다. 응답이 접수되지 않으면 목록의 다음 서버가 시도됩니다. 여러 서버를 지정하려면 서버 이름을 쉼표로 분리하고 이중 인용문으로 목록을 둘러싸십시오. 여러 서버가 지정된 경우 각 서버의 개별 값을 제공하기 위해 다른 반경 옵션을 쉼표로 구분 된 목록으로도 제공 할 수 있습니다. 또한 단일 값으로 지정할 수 있으며,이 경우 값은 모든 서버에 적용됩니다.

다음 구성 옵션은 반경에 지원됩니다 :

반경 매개 변수 값에 쉼표 또는 공백이 필요한 경우 값 주위에 이중 따옴표를 넣어서 수행 할 수 있지만 두 층의 이중 인용문이 필요하기 때문에 지루합니다. whitespace를 반경 비밀 문자열에 넣는 예는 다음과 같습니다.

호스트 ... RADIUS RADIUSSERVERS = "Server1, Server2"RadiusSecrets = "" "Secret One" "," "Secret Two" ""

이 인증 방법은 SSL 클라이언트 인증서를 사용하여 인증을 수행합니다. 따라서 SSL 연결에만 사용할 수 있습니다. 이 인증 방법을 사용할 때 서버는 클라이언트가 유효하고 신뢰할 수있는 인증서를 제공해야합니다. 비밀번호 프롬프트는 클라이언트에게 전송되지 않습니다. 그만큼CN(공통 이름) 인증서의 속성은 요청 된 데이터베이스 사용자 이름과 비교되며 로그인이 일치하는 경우 로그인이 허용됩니다. 사용자 이름 매핑을 사용하여 허용CN데이터베이스 사용자 이름과 다르려면

SSL 인증서 인증에 대해 다음 구성 옵션이 지원됩니다.

atpg_hba.conf토토 사이트 순위서 토토 사이트 순위 지정, 토토 사이트 순위 옵션ClientCert1,이 방법에는 클라이언트 인증서가 필요하므로 꺼질 수 없습니다. 무엇cert메소드가 기본에 추가ClientCert토토 사이트 순위서 타당성 테스트는를 확인한 것입니다.CN속성은 데이터베이스 사용자 이름과 일치합니다.

이 인증 방법은와 유사하게 작동합니다.비밀번호PAM (Pluggable Authentication Modules)을 인증 메커니즘으로 사용한다는 점을 제외하고. 기본 팸 서비스 이름은입니다.PostgreSQL. PAM은 사용자 이름/비밀번호 쌍과 선택적으로 연결된 원격 호스트 이름 또는 IP 주소를 검증하는 데 사용됩니다. 따라서 PAM을 인증에 사용하기 전에 사용자는 이미 데이터베이스에 존재해야합니다. Pam에 대한 자세한 내용은를 읽으십시오.Linux-Pam페이지.

PAM에 대해 다음 구성 옵션이 지원됩니다.

이 인증 방법은와 유사하게 작동합니다.비밀번호비밀번호를 확인하기 위해 BSD 인증을 사용하는 것을 제외하고. BSD 인증은 사용자 이름/비밀번호 쌍을 검증하는 데만 사용됩니다. 따라서 BSD 인증을 인증에 사용하기 전에 사용자의 역할은 이미 데이터베이스에 존재해야합니다. BSD 인증 프레임 워크는 현재 OpenBSD에서만 사용할 수 있습니다.

BSD 인증 inPostgreSQL사용auth-postgresql로그인 유형 및 토토 사이트 순위PostgreSQL정의 된 경우 로그인 클래스login.conf. 기본적으로 해당 로그인 클래스가 존재하지 않으며PostgreSQL기본 로그인 클래스를 사용합니다.