다음 하위 섹션은 인증 방법을 설명합니다 더 자세히.
언제신뢰인증은입니다 지정,토토 사이트 순위가정합니다 서버에 연결할 수있는 사람은 누구나 권한이 있습니다. 지정한 데이터베이스 사용자로 데이터베이스에 액세스하십시오 (데이터베이스 슈퍼업자 포함). 물론 제한 제작데이터베이스and사용자열은 여전히 적용됩니다. 이 방법이 있어야합니다 적절한 운영 시스템 수준이있을 때만 사용됩니다 서버 연결 보호.
신뢰인증이 적절합니다 단일 사용자의 로컬 연결에 매우 편리합니다 워크 스테이션. 일반적으로not그 자체로 적절한 a 다중 우스 기계. 그러나 사용할 수 있습니다신뢰다중 우수 기계에서도 서버의 Unix-Domain 소켓 파일을 사용하여 액세스를 제한하십시오 파일 시스템 권한. 이렇게하려면를 설정하십시오.unix_socket_permissions(그리고 아마도unix_socket_group) 구성 매개 변수 AS 설명섹션 16.4.2. 또는를 설정할 수 있습니다unix_socket_directory구성 매개 변수로 소켓 파일을 적절하게 제한된 디렉토리에 배치합니다.
파일 시스템 권한 설정 설정 UNIX-Socket에만 도움이됩니다 사이. 로컬 TCP/IP 연결은 이에 의해 제한되지 않습니다. 따라서 로컬에 파일 시스템 권한을 사용하려는 경우 보안, 제거호스트 ... 127.0.0.1 ...라인에서pg_hba.conf, 또는 비로 변경하십시오.신뢰인증 방법.
신뢰인증은 전용입니다 모든 사용자를 신뢰하는 경우 TCP/IP 연결에 적합합니다. 에 의해 서버에 연결할 수있는 모든 컴퓨터PG_HBA.conf지정하는 선신뢰. 사용하는 것은 합리적이지 않습니다신뢰다른 TCP/IP 연결의 경우 의 것보다LocalHost(127.0.0.1).
암호 기반 인증 방법은입니다.MD5, crypt및비밀번호. 이 방법은 작동합니다 마찬가지로 비밀번호가 전송되는 방식을 제외하고 연결. 하지만,crypt암호화 된 비밀번호를 저장할 수 없습니다PG_SHADOW.
당신이 암호에 대해 전혀 걱정하고 있다면"스니핑"공격MD5선호 |crypt지원 해야하는 경우 두 번째 선택 7.2 이전 고객. 솔직한비밀번호특히 열린 인터넷을 통한 연결을 피하십시오 (사용하지 않는 한SSL, SSH, OR 기타 통신 보안 포장지 연결).
토토 사이트 순위데이터베이스 암호는 운영 체제 사용자 비밀번호와 별개입니다. 각 데이터베이스 사용자의 비밀번호는에 저장됩니다.PG_SHADOW시스템 카탈로그 테이블. 암호는 될 수 있습니다 SQL 명령으로 관리사용자 만들기and사용자, 예 :비밀번호 'Secret';로 사용자 foo 생성. 에 의해 기본값, 즉 비밀번호가 설정되지 않은 경우 저장된 비밀번호는 null이고 암호 인증은 항상 실패합니다 그 사용자를 위해.
Kerberosis 산업 표준 보안 인증 시스템에 적합합니다 공개 네트워크를 통한 분산 컴퓨팅. 설명 그만큼Kerberos시스템이 멀다 이 문서의 범위를 넘어서; 전반적으로는 가능합니다 상당히 복잡한 (아직 강력합니다). 그만큼KerberosFAQ또는MIT 프로젝트 아테나탐사를위한 좋은 출발점이 될 수 있습니다. 몇 가지 출처Kerberos분포가 존재합니다.
while토토 사이트 순위지원 Kerberos 4와 Kerberos 5는 Kerberos 5 만 권장합니다. Kerberos 4는 불안한 것으로 간주되며 더 이상 권장되지 않습니다. 일반적인 사용.
사용하려면Kerberos, 제작 시간에 지원해야합니다. 보다14 장자세한 내용. 둘 다 Kerberos 4와 5는 지원되지만 하나의 버전 만 하나의 빌드에서 지원됩니다.
토토 사이트 순위일반적인 kerberos 서비스. 서비스 교장의 이름은입니다.ServiceName/hostname@Realm, 여기서ServiceNameisPostgres(다른 서비스 이름이 아닌 한 |./configure -with-krb-srvnam = 뭐든지).hostname완전히 자격을 갖춘 호스트 이름입니다 서버 시스템의. 서비스 교장의 영역은입니다 서버 시스템의 선호되는 영역.
고객 교장은토토 사이트 순위첫 번째 사용자 이름 구성 요소, 예를 들어pgusername/otherstuff@realm. 현재 클라이언트의 영역은에 의해 확인되지 않습니다토토 사이트 순위; 그래서 당신이 크로스 리알름이 있다면 인증이 활성화 된 다음 모든 영역의 모든 원칙 귀하와 의사 소통 할 수 있습니다.
서버 키 파일을 읽을 수 있는지 확인하십시오 ( 가급적으로 만 읽기)토토 사이트 순위서버 계정. (참조섹션 16.1.) 키 파일의 위치는에 의해 지정됩니다.KRB_SERVER_KEYFILE구성 매개 변수. (참조섹션 16.4.) 기본값은입니다./etc/srvtabKerberos를 사용하는 경우 4 및/usr/local/pgsql/etc/krb5.keytab(또는 어느 쪽이든 디렉토리는로 지정되었습니다.Sysconfdir빌드 시간) Kerberos와 함께 5.
KeyTab 파일을 생성하려면 예를 들어 사용하십시오 (버전과 함께 사용하십시오. 5)
Kadmin%Ank -randkey postgres/server.my.domain.org Kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
읽기Kerberos자세한 내용을위한 문서.
데이터베이스에 연결할 때 티켓이 있는지 확인하십시오. 요청 된 데이터베이스 사용자 이름과 일치하는 원금의 경우. an 예 : 데이터베이스 사용자 이름Fred, 둘 다 교장fred@example.comandfred/users.example.com@example.comcan 데이터베이스 서버에 인증하는 데 사용됩니다.
사용하는 경우mod_auth_kerbFromhttp : //modautherb.sf.netandmod_perlon아파치웹 서버, 사용할 수 있습니다AuthType KerberoSV5SaveCredentialswithmod_perl스크립트. 이것은 제공합니다 추가 비밀번호가없는 웹을 통해 데이터베이스 액세스를 보안하십시오 필수의.
ID 인증 방법은 클라이언트의 운영 체제 사용자 이름, 다음을 결정합니다 나열된 맵 파일을 사용하여 허용 데이터베이스 사용자 이름 허용 된 해당 이름 쌍. 결정 클라이언트의 사용자 이름은 보안 크리티컬 포인트이며 연결 유형에 따라 다르게 작동합니다.
the"식별 프로토콜"RFC 1413. 사실상 모든 UNIX와 유사한 운영 체제는 ID 서버와 함께 배송됩니다 이는 기본적으로 TCP 포트 113을 듣습니다. 기본 ID 서버의 기능은와 같은 질문에 답하는 것입니다."어떤 사용자가 연결을 시작했는지 당신의 항구에서 나가x및 내 포트에 연결y? ". 부터토토 사이트 순위둘 다 알고 있습니다xandy물리적 연결이 설정되면 심문 할 수 있습니다 연결 클라이언트 호스트의 ID 서버 및 이론적으로 운영 체제 사용자를 결정할 수 있습니다 이 방법으로 주어진 연결.
이 절차의 단점은 그것이 클라이언트의 무결성 : 클라이언트 시스템이 신뢰할 수없는 경우 또는 공격자가 거의 모든 프로그램을 실행할 수 있습니다. 포트 113에서 그가 선택한 사용자 이름을 반환합니다. 이것 따라서 인증 방법은 적절합니다 각 클라이언트 기계가 빡빡한 닫힌 네트워크 제어 및 데이터베이스 및 시스템 관리자 밀접하게 연락하여 작동합니다. 다시 말해, 당신은 신뢰해야합니다 ID 서버를 실행하는 기계. 경고에 귀를 기울인다 :
|
식별 프로토콜은 의도되지 않습니다 승인 또는 액세스 제어 프로토콜. |
||
| --RFC 1413 | ||
일부 ID 서버에는 비표준 옵션이 있습니다 반환 된 사용자 이름은 암호화 할 키를 사용하여 원래 기계의 관리자는 알고 있습니다. 이 옵션필수사용하십시오 와 함께 ID 서버를 사용할 때토토 사이트 순위이후토토 사이트 순위반환 된 문자열을 해독하여 실제 사용자를 결정하십시오 이름.
시스템 지원SO_PEERCRED유닉스 도메인 소켓 요청 (현재Linux, freebsd, netbsd, OpenBSD및BSD/OS), ID 인증도 가능합니다 로컬 연결에 적용됩니다. 이 경우 보안 위험이 없습니다 ID 인증을 사용하여 추가됩니다. 실제로 그것은입니다 그러한 시스템에서 로컬 연결에 선호되는 선택.
시스템에서SO_PEERCRED요청, ID 인증은 TCP/IP에 대해서만 사용할 수 있습니다 사이. 해결 방법으로를 지정할 수 있습니다.LocalHost주소127.0.0.1이 주소에 대한 연결. 이 방법은 신뢰할 수 있습니다 로컬 ID 서버를 신뢰하는 정도.
ID 기반 인증을 사용할 때 운영 체제 사용자의 이름을 결정했습니다 연결을 시작했습니다.토토 사이트 순위해당 사용자가 있는지 확인합니다 그가 요청하는 데이터베이스 사용자로 연결할 수 있습니다. AS를 연결하십시오. 이것은 IND 맵 인수에 의해 제어됩니다 다음ID키워드PG_HBA.conf파일. A가 있습니다 사전 정의 된 IND 맵Sameuser모든 운영 체제 사용자가 데이터베이스로 연결할 수 있습니다. 같은 이름의 사용자 (후자가 존재하는 경우). 다른지도가 있어야합니다 수동으로 생성됩니다.
이외의 Ident MapsSameuser기본적으로 이름이 지정된 ID 맵 파일에 정의되어 있습니다.pg_ident.conf그리고 클러스터의 데이터에 저장됩니다 예배 규칙서. (다른 곳에지도 파일을 배치 할 수 있습니다. 하지만; 참조Ident_File구성 매개 변수)) ID 맵 파일에는 줄이 포함되어 있습니다 일반적인 형태 :
Map-name Idr-Username Database-Username
댓글과 공백은와 같은 방식으로 처리됩니다.pg_hba.conf. 그만큼Map-name는 임의의 이름입니다 이 매핑을 참조하는 데 사용됩니다pg_hba.conf. 다른 두 필드는 지정합니다 어떤 운영 체제 사용자가 데이터베이스 사용자. 같은Map-name반복적으로 사용할 수 있습니다 단일 맵 내에서 더 많은 사용자 매핑을 지정하십시오. 아니요 주어진 데이터베이스 사용자 수에 대한 제한 운영 체제 사용자는 그 반대에 해당하거나 그 반대도 마찬가지입니다.
thepg_ident.conf파일을 읽습니다 시작 및 기본 서버 프로세스시 (Postmaster) a를받습니다.Sighup신호. 활성에서 파일을 편집하는 경우 시스템, 당신은에 신호를 보내야합니다Postmaster(사용PG_CTL Reload또는kill -hup)) 파일을 다시 읽으십시오.
apg_ident.conf할 수있는 파일 와 함께 사용하십시오.PG_HBA.conf파일에서예제 19-1예 19-2. 이 예제 설정에서 누구나 192.168 UNIX 사용자 이름이없는 네트워크Bryanh, Ann또는Robert액세스 권한이 부여되지 않습니다. 유닉스 사용자Robert그가 할 때만 액세스 할 수 있습니다 연결하려고토토 사이트 순위사용자bobRobert또는 다른 사람.Ann연결 허용Ann. 사용자Bryanh연결할 수 있습니다 어느 쪽이든Bryanh자신 또는 ASGuest1.
이 인증 방법은와 유사하게 작동합니다.비밀번호PAM (Pluggable을 사용한다는 점을 제외하고 인증 모듈) 인증 메커니즘으로. 그만큼 기본 팸 서비스 이름은토토 사이트 순위. 선택적으로 직접 제공 할 수 있습니다 서비스 이름PAM키워드 in 파일PG_HBA.conf. PAM이 사용됩니다 사용자 이름/비밀번호 쌍을 확인하기 위해서만. 따라서 사용자 PAM을 사용하기 전에 이미 데이터베이스에 존재해야합니다. 입증. Pam에 대한 자세한 내용은를 읽으십시오.Linux-Pam페이지및 그만큼SolarisPAM 페이지.