다음은 인증 방법을 자세히 설명합니다 세부 사항.
언제신뢰메이저 토토 사이트은입니다 지정,PostgreSQL가정합니다 우체국 장에 연결할 수있는 사람은 누구나 그가 지정한 데이터베이스 사용자로 데이터베이스에 액세스하십시오 (데이터베이스 슈퍼업자 포함). 이 메이저 토토 사이트 은만이어야합니다 적절한 시스템 수준 보호가있을 때 사용됩니다 포스트 마스터 포트에 대한 연결.
신뢰메이저 토토 사이트이 적절합니다
단일 사용자의 로컬 연결에 매우 편리합니다
워크 스테이션. 일반적으로not그 자체로 적절한 a
다중 우스 기계. 그러나 사용할 수 있습니다신뢰다중 우수 기계에서도
우체국 마스터의 소켓 파일을 사용하여 액세스를 제한하십시오
파일 시스템 권한. 이렇게하려면 매개 변수를 설정unix_socket_permissions(및
혹시unix_socket_group) inpostgresql.conf, 설명대로섹션
3.4.3. 또는 설정할 수 있습니다unix_socket_directory소켓 파일을 배치합니다
적절하게 제한된 디렉토리에서.
파일 시스템 권한 설정은 UNIX-Socket에만 도움이됩니다 사이. 로컬 TCP 연결은 이에 의해 제한되지 않습니다. 따라서 지역 보안에 권한을 사용하려면 제거호스트 ... 127.0.0.1 ...라인 에서pg_hba.conf또는 a로 변경하십시오 비신뢰메이저 토토 사이트 방법.
신뢰인증은 전용입니다 모든 사용자를 신뢰하는 경우 TCP 연결에 적합합니다. 에 의해 우체국 장에 연결할 수있는 기계pg_hba.conf지정하는 선신뢰. 사용하는 것은 합리적이지 않습니다신뢰다른 TCP 연결의 경우 LocalHost의 것보다 (127.0.0.1).
암호 기반 메이저 토토 사이트 방법 포함MD5, crypt및비밀번호. 이 방법은 작동합니다 마찬가지로 비밀번호가 전송되는 방식을 제외하고 연결. 비밀번호에 대해 전혀 걱정하는 경우"스니핑"공격MD5선호됩니다.crypt지원 해야하는 경우 두 번째 선택 쓸모없는 고객. 솔직한비밀번호특히 개방형의 연결을 피해야합니다 인터넷 (SSL, SSH 또는 기타 커뮤니케이션을 사용하지 않는 한 연결 주위의 보안 포장지).
PostgreSQL데이터베이스 암호는 운영 체제 사용자 비밀번호와 별개입니다. 일반적으로 각 데이터베이스 사용자의 비밀번호는 PG_SHADOW 시스템 카탈로그 테이블. 비밀번호를 관리 할 수 있습니다 쿼리 언어 명령생성 사용자and사용자, 예 :비밀번호로 사용자 foo를 만듭니다 '비밀';. 기본적으로, 즉 비밀번호가없는 경우 설정, 저장된 비밀번호는입니다.NULL및 비밀번호 인증은 해당 사용자에게 항상 실패합니다.
연결할 수있는 사용자 세트를 제한하려면 특정 데이터베이스, 별도의 파일에 사용자 집합을 나열합니다. (라인 당 하나의 사용자 이름) 동일한 디렉토리에서PG_HBA.conf에 들어가서 (기본) 이름을 언급합니다 이후 파일의비밀번호, MD5또는crypt키워드, inPG_HBA.conf. 이 기능을 사용하지 않으면 그러면 데이터베이스 시스템에 알려진 모든 사용자는 연결할 수 있습니다. 모든 데이터베이스 (올바른 비밀번호를 공급하는 한 물론).
이 파일을 사용하여 다른 세트를 적용 할 수 있습니다. 특정 데이터베이스에 대한 비밀번호 또는 그 설정. 그것에 케이스, 파일은 표준 UNIX와 유사한 형식을 가지고 있습니다. 암호 파일/etc/passwd, 그 이다,
사용자 이름:비밀번호
암호를 따르는 추가 대장 분리 필드는 다음과 같습니다
무시했습니다. 비밀번호는 다음을 사용하여 암호화 될 것으로 예상됩니다
시스템crypt ()함수. 그만큼
유틸리티 프로그램pg_passwd그
로 설치PostgreSQL이 암호 파일을 관리하는 데 사용할 수 있습니다.
비밀번호가 있거나없는 줄은 2 차에서 혼합 될 수 있습니다. 비밀번호 파일. 비밀번호가없는 줄은 메인 사용을 나타냅니다 암호PG_SHADOW관리됩니다 에 의해사용자 만들기and사용자. 비밀번호가있는 라인은 그 결과를 초래할 수 있습니다 사용할 비밀번호. 의 비밀번호 항목"+"또한 pg_shadow 비밀번호를 사용하는 것을 의미합니다.
를 사용할 때 대체 암호를 사용할 수 없습니다MD5또는crypt메이저 토토 사이트. 파일은 평소와 같이 읽히지 만 암호 필드는 단순히 무시되고PG_SHADOW암호는 항상 사용됩니다.
이와 같은 대체 암호를 사용한다는 점에 유의하십시오 더 이상 사용할 수 없습니다사용자TO 비밀번호를 변경하십시오. 비밀번호는 작동하는 것처럼 보일 것입니다 하나는 시스템이 끝날 암호가 아닙니다. 사용.
Kerberosis 산업 표준 보안 메이저 토토 사이트 시스템에 적합합니다 공개 네트워크를 통한 분산 컴퓨팅. 설명 그만큼Kerberos시스템이 멀다 이 문서의 범위를 넘어서; 모든 일반적인 상태에서 그것은 가능합니다 상당히 복잡한 (아직 강력합니다). 그만큼KerberosFAQ또는MIT 프로젝트 아테나탐험을위한 좋은 출발점이 될 수 있습니다. 몇 가지 출처Kerberos분포가 존재합니다.
사용하려면Kerberos, 제작 시간에 지원해야합니다. 두 kerberos 4 그리고 5는 지원됩니다 (./configure -with-krb4또는./configure -with-krb5각각), 하나의 버전 만 할 수 있지만 하나의 빌드에서 지원됩니다.
PostgreSQL처럼 작동합니다 일반적인 kerberos 서비스. 서비스 교장의 이름은입니다.ServiceName/hostname@realm, 어디ServiceNameisPostgres(다른 서비스 이름이없는 한 |./configure -with-krb-srvnam = 뭐든지).hostname는 완전히 자격을 갖춘 도메인입니다 서버 시스템의 이름. 서비스 교장의 영역은입니다 서버 시스템의 선호되는 영역.
고객 교장은PostgreSQL첫 번째 사용자 이름 구성 요소, 예를 들어pgusername/otherstuff@realm. 현재 고객의 영역은에 의해 확인되지 않습니다.PostgreSQL; 그래서 당신이 크로스 리알름이 있다면 인증이 활성화 된 다음 모든 영역의 모든 원칙 귀하와 의사 소통 할 수 있습니다.
서버 키 파일을 읽을 수 있는지 확인하십시오 (
가급적으로 만 읽기)PostgreSQL서버 계정 (참조섹션 3.1). 위치
키 파일은로 지정됩니다.KRB_SERVER_KEYFILE실행 시간 구성
매개 변수. (참조무지개 토토 : 문서 : 7.2 : 런타임 무지개 토토.) 기본값은입니다./etc/srvtabKerberos 4 and을 사용하는 경우파일 : /usr/local/pgsql/etc/krb5.keytab(또는
어떤 디렉토리가Sysconfdir빌드 타임) Kerberos와 함께 5.
KeyTab 파일을 생성하려면 예를 들어 사용합니다 (버전과 함께 사용하십시오. 5)
Kadmin%Ank -randkey postgres/server.my.domain.org Kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
읽기Kerberos자세한 내용을위한 문서.
데이터베이스에 연결할 때 티켓이 있는지 확인하십시오. 요청 된 데이터베이스 사용자 이름과 일치하는 원금의 경우. an 예 : 데이터베이스 사용자 이름Fred, 둘 다 교장fred@example.com및fred/users.example.com@example.comcan 데이터베이스 서버에 메이저 토토 사이트하는 데 사용됩니다.
사용하는 경우mod_auth_krbandmod_perlon아파치웹 서버, 사용할 수 있습니다AuthType KerberoSV5SaveCredentialswithmod_perl스크립트. 이것은 제공합니다 추가 비밀번호가없는 웹을 통해 데이터베이스 액세스를 보안하십시오 필수의.
the"식별 프로토콜"is 설명RFC 1413. 사실상 모든 UNIX와 같은 운영 체제는 ID 서버와 함께 제공됩니다 기본적으로 TCP 포트 113에서 청취합니다. 기본 기능 ID 서버는와 같은 질문에 답하는 것입니다."어떤 사용자가 연결을 시작했는지 당신의 포트x내와 연결됩니다 포트y? ". 부터PostgreSQL둘 다 알고 있습니다xandy물리적 연결이있을 때 설립 된 것은 연결 클라이언트와 이론적으로 결정할 수 있습니다 주어진 연결에 대한 운영 체제 사용자.
이 절차의 단점은 그것이 클라이언트의 무결성 : 클라이언트 머신이 신뢰할 수 없거나 타협 된 공격자는 거의 모든 프로그램을 실행할 수 있습니다. 포트 113 및 그가 선택한 사용자 이름을 반환하십시오. 이것 따라서 인증 방법은 폐쇄에만 적합합니다 각 클라이언트 기계가 엄격한 제어를 받고있는 네트워크와 데이터베이스 및 시스템 관리자가 가까이에서 작동하는 경우 연락하다. 다시 말해, 당신은 ID 서버. 경고에 귀를 기울인다 :
|
식별 프로토콜은 의도되지 않습니다 승인 또는 액세스 제어 프로토콜. |
||
| --RFC 1413 | ||
시스템 지원SO_PEERCREDUNIX-DOMAIN 소켓에 대한 요청, ID 메이저 토토 사이트도 가능합니다 로컬 연결에 적용됩니다. 이 경우 보안 위험이 없습니다 ID 메이저 토토 사이트을 사용하여 추가됩니다. 실제로 그것은입니다 그러한 시스템에서 로컬 연결에 선호되는 선택.
ID 기반 인증을 사용할 때 시작한 운영 체제 사용자의 이름을 결정했습니다. 연결,PostgreSQL해당 사용자가 데이터베이스로 연결할 수 있는지 확인합니다. 사용자가 연결을 요청하고 있습니다. 이것은 THE에 의해 제어됩니다 다음을 따르는 맵 인수를 확인합니다ID키워드PG_HBA.conf파일. 사전 정의 된 ID가 있습니다 지도Sameuser운영 체제 사용자는 데이터베이스 사용자로 연결합니다. 같은 이름 (후자가 존재하는 경우). 다른지도를 만들어야합니다 수동으로.
|Sameuser파일에 정의되어 있습니다pg_ident.conf데이터 디렉토리, 일반적인 형태의 선이 포함되어 있습니다.
Map-name Idr-Username Database-Username
의견과 공백은 일반적인 방식으로 처리됩니다. 그만큼Map-name는 임의의 이름입니다 이 매핑을 참조하는 데 사용됩니다.PG_HBA.conf. 다른 두 필드는 어느 것을 지정합니다 운영 체제 사용자는 어떤 데이터베이스로 연결할 수 있습니다. 사용자. 같은Map-name할 수 있습니다 단일 내에서 더 많은 사용자 매핑을 지정하는 데 반복적으로 사용됩니다 지도. 데이터베이스 사용자 수에 대한 제한은 없습니다 주어진 운영 체제 사용자는 해당 및 VICE에 해당 할 수 있습니다. Versa.
thepg_ident.conf파일은 시작시 및시기에 읽습니다 그만큼PostmasteraSighup신호. 편집하면 활성 시스템에 파일을 표시하려면에 신호를 보내야합니다.Postmaster(사용PG_CTL Reload또는킬 -앉다) 파일을 다시 읽게하려면
apg_ident.conf가능성이 있습니다 와 함께 사용pg_hba.conf파일에서예제 4-1예 4-2. ~ 안에 이 예제 설정, 누구나 시스템에 로그인 한 사람 192.168 UNIX 사용자 이름이없는 네트워크Bryanh, Ann또는Robert액세스 권한이 부여되지 않습니다. 유닉스 사용자Robert그가 연결하려고 할 때 액세스 허용PostgreSQL사용자bobRobert또는 다른 사람.Ann|Ann. 사용자BryanhAS를 연결할 수 있습니다 어느 하나Bryanh자신 또는 ASGuest1.