GSSAPIRFC 2743에 정의 된 보안 토토을위한 산업 표준 프로토콜입니다.PostgreSQL지원gssapiwithKerberosRFC 1964에 따른 토토gssapi이를 지원하는 시스템에 자동 인증 (단일 사인온)을 제공합니다. 인증 자체는 안전하지만 데이터베이스 연결을 통해 전송 된 데이터는 암호화되지 않은 채 전송됩니다.SSL사용됩니다.

GSSAPI 지원을 활성화해야 할 때postgresql건축되었습니다. 보다16 장자세한 내용은

언제gssapi용도Kerberos, 형식의 표준 원칙을 사용합니다ServiceName/hostname@Realm. PostgreSQL 서버는 서버가 사용하는 키 탭에 포함 된 모든 원칙을 수락하지만를 사용하여 클라이언트의 연결을 할 때 올바른 주요 세부 정보를 지정하려면 CARE를 사용해야합니다.krbsrvname연결 매개 변수. (참조섹션 34.1.2.) 설치 기본값을 기본값에서 변경할 수 있습니다Postgres빌드 시간을 사용하여./configure-with-krb-srvnam =무엇이든. 대부분의 환경 에서이 매개 변수는 변경 될 필요가 없습니다. 일부 Kerberos 구현은 서비스 이름을 대문자로 받아야하는 Microsoft Active Directory와 같은 다른 서비스 이름이 필요할 수 있습니다 (Postgres).

hostname는 서버 시스템의 자격을 갖춘 호스트 이름입니다. 서비스 교장의 영역은 서버 시스템의 선호되는 영역입니다.

클라이언트 교장은 다른 것에 매핑 할 수 있습니다postgresql데이터베이스 사용자 이름pg_ident.conf. 예를 들어,pgusername@realm그냥 맵핑 할 수 있습니다pgusername. 또는 전체를 사용할 수 있습니다username@realm역할 이름으로 교장PostgreSQL매핑없이.

postgresql또한 원칙에서 영역을 제거하기위한 매개 변수를 지원합니다. 이 방법은 거꾸로 호환성을 위해 지원되며 다른 사용자를 동일한 사용자 이름으로 구별하지만 다른 영역에서 나오는 것은 불가능하기 때문에 강력하게 낙담합니다. 이를 가능하게하려면 설정Include_Realm~ 0. 간단한 단일 릴름 설치의 경우, 설정과 결합 된KRB_REALM매개 변수 (교장의 영역이 정확히 일치하는지 확인합니다KRB_REALM매개 변수)는 여전히 안전합니다. 그러나 이것은 명시 적 매핑을 지정하는 것과 비교하여 덜 유능한 접근법입니다.pg_ident.conf.

서버 keytab 파일을 읽을 수 있고 (그리고 바람직하게는 읽기 만 할 수없고, 쓸 수 없음)PostgreSQL서버 계정. (참조PostgreSQL : 문서 : 11 : 18.1. PostgreSQL 토토 사이트 추천 계정.) 키 파일의 위치는에 의해 지정됩니다.KRB_SERVER_KEYFILE구성 매개 변수. 기본값은/usr/local/pgsql/etc/krb5.keytab(또는 모든 디렉토리가Sysconfdir빌드 시간). 보안상의 이유로,에만 별도의 keytab을 사용하는 것이 좋습니다.PostgreSQLSystem keytab 파일에서 권한을 열지 않고 서버

KeyTab 파일은 Kerberos 소프트웨어에 의해 생성됩니다. 자세한 내용은 Kerberos 문서를 참조하십시오. 다음 예는 MIT 호환 Kerberos 5 구현에 대한 것입니다.

Kadmin%Ank -randkey postgres/server.my.domain.org
Kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org

데이터베이스에 연결할 때 요청 된 데이터베이스 사용자 이름과 일치하는 주요 티켓이 있는지 확인하십시오. 예를 들어, 데이터베이스 사용자 이름의 경우프레드, Principalfred@example.com연결할 수 있습니다. 또한 교장을 허용하려면fred/users.example.com@example.com,에 설명 된대로 사용자 이름 맵을 사용하십시오.PostgreSQL : 문서 : 11 : 20.2. 토토 핫 이름지도.

다음 구성 옵션이 지원됩니다GSSAPI: