다음은 추가 인증 방법을 설명합니다. 자세히.
언제신뢰메이저 토토 사이트은 지정됨,PostgreSQL가정 포스트마스터에 연결할 수 있는 사람은 누구나 다음을 수행할 수 있는 권한이 있습니다. 그가 지정한 데이터베이스 사용자로 데이터베이스에 액세스하십시오. (데이터베이스 수퍼유저 포함) 이 방법은 다음과 같습니다. 적절한 시스템 수준 보호가 있을 때 사용됩니다. 포스트마스터 포트에 연결합니다.
신뢰메이저 토토 사이트이 적절합니다
단일 사용자의 로컬 연결에 매우 편리합니다.
워크스테이션. 일반적으로아님그 자체로 적합함
다중 사용자 기계. 그러나 다음을 사용할 수 있습니다.신뢰다중 사용자 시스템에서도
다음을 사용하여 포스트마스터의 소켓 파일에 대한 액세스를 제한합니다.
파일 시스템 권한. 이렇게 하려면 매개변수를 설정하세요.unix_socket_permissions(그리고
아마도unix_socket_group) inpostgresql.conf, 설명된 대로섹션
3.4.3. 아니면 설정할 수도 있습니다.unix_socket_directory소켓 파일 배치
적절하게 제한된 디렉토리에 있습니다.
파일 시스템 권한 설정은 Unix 소켓에만 도움이 됩니다 연결. 로컬 TCP 연결은 이에 의해 제한되지 않습니다. 따라서 로컬 보안을 위해 권한을 사용하려면 제거하다호스트 ... 127.0.0.1 ...라인 에서pg_hba.conf또는 다음으로 변경하세요. 비-신뢰메이저 토토 사이트 방법.
신뢰인증만 가능 매 순간 모든 사용자를 신뢰한다면 TCP 연결에 적합합니다. 다음을 통해 포스트마스터에 연결이 허용된 시스템입니다.pg_hba.conf지정하는 라인신뢰. 사용하는 것이 거의 합리적이지 않습니다.신뢰다른 TCP 연결의 경우 localhost(127.0.0.1)의 것보다.
비밀번호 기반 인증 방법에는 다음이 포함됩니다.md5, 암호및비밀번호. 이러한 방법은 작동 비밀번호가 전송되는 방식을 제외하고는 유사합니다. 연결. 비밀번호가 걱정된다면"냄새를 맡는 중"다음 공격md5바람직함, 다음과 함께암호지원해야 하는 경우 두 번째 선택 오래된 클라이언트. 일반비밀번호특히 개방형 연결에서는 피해야 합니다. 인터넷(SSL, SSH 또는 기타 통신을 사용하지 않는 경우) 연결 주변의 보안 래퍼).
PostgreSQL데이터베이스 비밀번호는 운영 체제 사용자 비밀번호와 별개입니다. 일반적으로 각 데이터베이스 사용자의 비밀번호는 다음 위치에 저장됩니다. pg_shadow 시스템 카탈로그 테이블. 비밀번호를 관리할 수 있습니다 쿼리 언어 명령 사용만들기 사용자그리고사용자 변경예:비밀번호를 사용하여 foo 사용자 생성 '비밀';. 기본적으로, 즉, 비밀번호가 설정되지 않은 경우 설정, 저장된 비밀번호는 다음과 같습니다.NULL그리고 해당 사용자에 대한 비밀번호 인증은 항상 실패합니다.
연결이 허용된 사용자 집합을 제한하려면 특정 데이터베이스의 경우 별도의 파일에 사용자 집합을 나열합니다. (한 줄에 하나의 사용자 이름)과 동일한 디렉터리에 있습니다.pg_hba.conf포함되어 있으며 (기본) 이름을 언급하세요. 다음 파일의비밀번호, md5또는암호키워드, 각각 inpg_hba.conf. 이 기능을 사용하지 않을 경우, 그러면 데이터베이스 시스템에 알려진 모든 사용자가 연결할 수 있습니다. 모든 데이터베이스에(올바른 비밀번호를 제공하는 한, 물론이죠).
이 파일은 다른 세트를 적용하는 데에도 사용할 수 있습니다. 특정 데이터베이스 또는 그 세트에 대한 비밀번호. 그 안에 이 경우 파일은 표준 Unix와 유사한 형식을 갖습니다. 비밀번호 파일/etc/passwd그건 이다,
사용자 이름:비밀번호
비밀번호 뒤에 콜론으로 구분된 추가 필드는 다음과 같습니다.
무시되었습니다. 비밀번호는 다음을 사용하여 암호화될 것으로 예상됩니다.
시스템의암호()함수. 는
유틸리티 프로그램pg_passwd그것
다음과 함께 설치됩니다.포스트그레SQL이 비밀번호 파일을 관리하는 데 사용할 수 있습니다.
비밀번호가 있는 라인과 없는 라인은 보조 라인에서 혼합될 수 있습니다. 비밀번호 파일. 비밀번호가 없는 행은 기본 사용을 나타냅니다. 비밀번호 입력pg_shadow관리됨 으로사용자 생성그리고사용자 변경. 비밀번호가 있는 줄은 다음과 같은 원인이 됩니다. 사용할 비밀번호. 비밀번호 항목"+"또한 pg_shadow 비밀번호를 사용한다는 의미입니다.
다음을 사용할 때 대체 비밀번호를 사용할 수 없습니다.md5또는암호메소드. 파일은 평소와 같이 읽혀지지만 비밀번호 필드는 단순히 무시되며pg_shadow비밀번호는 항상 사용됩니다.
이와 같은 대체 비밀번호를 사용하면 다음을 의미합니다. 더 이상 사용할 수 없습니다.사용자 변경에 비밀번호를 바꾸세요. 작동하는 것처럼 보이지만 비밀번호가 변경하는 것은 시스템이 종료하게 될 비밀번호가 아닙니다. 사용 중입니다.
케르베로스은 산업 표준 보안 메이저 토토 사이트 시스템에 적합 공용 네트워크를 통한 분산 컴퓨팅. 에 대한 설명케르베로스시스템이 멀다 이 문서의 범위를 벗어나는 것 일반적으로 그럴 수 있다. 꽤 복잡하지만 (아직 강력함)케르베로스FAQ또는MIT 프로젝트 아테나탐험을 위한 좋은 출발점이 될 수 있습니다. 여러 소스케르베로스배포판이 존재합니다.
사용하기 위해케르베로스, 이에 대한 지원은 빌드 시 활성화되어야 합니다. 둘 다 Kerberos 4 5개가 지원됩니다(./구성 --with-krb4또는./구성 --with-krb5각각), 단 하나의 버전만 가능하지만 하나의 빌드에서 지원됩니다.
PostgreSQL다음과 같이 작동합니다 일반 Kerberos 서비스. 서비스 주체의 이름은 다음과 같습니다.서비스 이름/호스트 이름@렐름, 어디서서비스 이름is포스트그레(다른 서비스 이름이 아닌 경우) 구성 시 선택됨./구성 --with-krb-srvnam=무엇이든). 호스트 이름정규화된 도메인입니다. 서버 시스템의 이름입니다. 서비스 주체의 영역은 다음과 같습니다. 서버 시스템의 기본 영역입니다.
클라이언트 주체는 다음을 가져야 합니다.PostgreSQL사용자 이름을 첫 번째로 예를 들어 구성요소pgusername/otherstuff@realm. 현재 클라이언트 영역은 다음으로 확인되지 않습니다.PostgreSQL; 따라서 교차 영역이 있는 경우 인증이 활성화된 다음 해당 영역의 모든 주체 당신과 의사소통할 수 있는 것은 받아들여질 것입니다.
서버 키 파일을 읽을 수 있는지 확인하십시오(그리고
읽기만 가능함) by thePostgreSQL서버 계정(참조섹션 3.1). 위치
키 파일은krb_server_keyfile런타임 구성
매개변수. (또한 참조무지개 토토 : 문서 : 7.2 : 런타임 무지개 토토.) 기본값은/etc/srvtabKerberos 4를 사용하는 경우파일:/usr/local/pgsql/etc/krb5.keytab(또는
어떤 디렉토리가 지정되었든 간에sysconfdir빌드 시간에) Kerberos 5를 사용합니다.
keytab 파일을 생성하려면 다음을 사용하십시오(버전 포함) 5)
kadmin%ank -randkey postgres/server.my.domain.org kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
읽기케르베로스자세한 내용은 문서를 참조하세요.
데이터베이스에 연결할 때 티켓이 있는지 확인하세요 요청된 데이터베이스 사용자 이름과 일치하는 주체에 대해 안 예: 데이터베이스 사용자 이름의 경우프레드, 둘 다 교장fred@EXAMPLE.COM그리고fred/users.example.com@EXAMPLE.COM할 수 있다 데이터베이스 서버에 메이저 토토 사이트하는 데 사용됩니다.
사용하는 경우mod_auth_krb그리고mod_perl당신의아파치웹 서버를 사용할 수 있습니다메이저 토토 사이트 유형 KerberosV5SaveCredentials와 함께mod_perl스크립트. 이것은 웹을 통한 보안 데이터베이스 액세스, 추가 비밀번호 없음 필수입니다.
그"식별 프로토콜"이다 설명됨RFC 1413. 거의 모든 Unix 계열 운영 체제에는 다음과 같은 ident 서버가 함께 제공됩니다. 기본적으로 TCP 포트 113에서 수신 대기합니다. 기본 기능은 ID 서버는 다음과 같은 질문에 답하는 것입니다."어떤 사용자가 외부 연결을 시작했는지 당신의 항구X그리고 내 계정에 연결됩니다 항구Y?". 이후PostgreSQL둘 다 안다X그리고Y물리적 연결이 있을 때 설정되면 호스트의 ident 서버를 조사할 수 있습니다. 연결 클라이언트를 이론적으로 결정할 수 있습니다 특정 연결에 대한 운영 체제 사용자는 이 방법을 사용합니다.
이 절차의 단점은 다음에 따라 달라진다는 것입니다. 클라이언트의 무결성: 클라이언트 시스템을 신뢰할 수 없거나 공격자가 손상되면 거의 모든 프로그램을 실행할 수 있습니다. 포트 113을 선택하고 그가 선택한 사용자 이름을 반환합니다. 이 따라서 인증 방법은 폐쇄된 경우에만 적합합니다. 각 클라이언트 시스템이 엄격하게 통제되는 네트워크 데이터베이스와 시스템 관리자가 긴밀하게 협력하는 곳 연락. 즉, 당신은 다음을 실행하는 기계를 신뢰해야 합니다. ID 서버. 경고에 유의하세요.
|
식별 프로토콜은 승인 또는 액세스 제어 프로토콜. |
||
| --RFC 1413 | ||
지원하는 시스템에서SO_PEERCREDUnix 도메인 소켓에 대한 요청, ID 메이저 토토 사이트도 가능 로컬 연결에 적용됩니다. 이 경우 보안 위험은 없습니다. ID 메이저 토토 사이트을 사용하여 추가됩니다. 실제로 그것은 이러한 시스템의 로컬 연결에 선호되는 선택입니다.
ID 기반 메이저 토토 사이트을 사용할 때, 시작한 운영 체제 사용자의 이름을 확인했습니다. 연결,PostgreSQL해당 사용자가 데이터베이스로 연결할 수 있는지 확인합니다. 그가 연결을 요청하는 사용자입니다. 이는 다음에 의해 제어됩니다. 다음의 ident 맵 인수ident키워드pg_hba.conf파일. 사전 정의된 ID가 있습니다. 지도동일사용자, 이는 모든 것을 허용합니다. 운영 체제 사용자는 데이터베이스 사용자로 연결합니다. 동일한 이름(후자가 존재하는 경우). 다른 지도를 만들어야 합니다. 수동으로.
다음 이외의 ID 맵동일사용자파일에 정의되어 있습니다pg_ident.conf데이터 디렉토리에, 여기에는 일반적인 형식의 줄이 포함됩니다.
지도-이름 ident-사용자 이름 데이터베이스-사용자 이름
주석과 공백은 일반적인 방법으로 처리됩니다.지도-이름임의의 이름입니다 이 매핑을 참조하는 데 사용됩니다.pg_hba.conf. 다른 두 필드는 다음을 지정합니다. 운영 체제 사용자는 어떤 데이터베이스에 연결할 수 있습니까? 사용자. 같은지도-이름될 수 있습니다 단일 내에서 더 많은 사용자 매핑을 지정하기 위해 반복적으로 사용됩니다. 지도. 데이터베이스 사용자 수에 대한 제한은 없습니다. 주어진 운영 체제 사용자는 다음과 같을 수도 있고 그 반대일 수도 있습니다. 반대로.
그pg_ident.conf시작 시 파일을 읽을 때와우체국장a를 받습니다SIGHUP신호. 편집하면 활성 시스템에 있는 파일에 대해 신호를 보내야 합니다.우체국장(사용pg_ctl reload또는죽여라 -HUP) 파일을 다시 읽도록 합니다.
A pg_ident.conf다음과 같은 파일이 있을 수 있습니다. 와 함께 사용됨pg_hba.conf파일 입력예 4-1다음에 표시됨예 4-2. 에서 이 예제 설정에서는 컴퓨터에 로그인한 모든 사람이 192.168 Unix 사용자 이름이 없는 네트워크브라이언, 앤또는로버트액세스 권한이 부여되지 않습니다. 유닉스 사용자로버트단지 그가 다음 계정으로 연결을 시도할 때 액세스가 허용되었습니다.PostgreSQL사용자밥, 그렇지 않음로버트또는 누구든지.앤다음으로만 연결이 허용됩니다.앤. 사용자브라이언다음으로 연결이 허용됩니다 둘 중 하나브라이언자신 또는 다른 사람손님1.