다음 하위 섹션에서는 인증 방법을 설명합니다. 좀 더 자세히.
언제신뢰토토 사이트 순위은 지정됨,포스트그레SQL가정 서버에 연결할 수 있는 모든 사람에게 권한이 부여됩니다. 지정한 데이터베이스 사용자로 데이터베이스에 액세스하십시오. (데이터베이스 수퍼유저 포함) 물론 제한은 에서 만든데이터베이스그리고사용자열은 여전히 적용됩니다. 이 방법은 적절한 운영 체제 수준이 있는 경우에만 사용됩니다. 서버 연결을 보호합니다.
신뢰인증이 적절합니다 단일 사용자의 로컬 연결에 매우 편리합니다. 워크스테이션. 일반적으로아님그 자체로 적합함 다중 사용자 기계. 그러나 다음을 사용할 수 있습니다.신뢰다중 사용자 시스템에서도 다음을 사용하여 서버의 Unix 도메인 소켓 파일에 대한 액세스를 제한합니다. 파일 시스템 권한. 이렇게 하려면unix_socket_permissions(아마도unix_socket_group) 구성 매개변수 설명됨섹션 16.4.2. 또는 다음을 설정할 수도 있습니다.unix_socket_directory구성 매개변수 적절하게 제한된 디렉토리에 소켓 파일을 배치하십시오.
파일 시스템 권한 설정은 Unix 소켓에만 도움이 됩니다 연결. 로컬 TCP/IP 연결은 이에 의해 제한되지 않습니다. 따라서 로컬에 대한 파일 시스템 권한을 사용하려는 경우 보안, 삭제하세요.호스트 ... 127.0.0.1 ...행에서pg_hba.conf또는 비-로 변경하세요.신뢰토토 사이트 순위 방법.
신뢰인증만 가능 모든 사용자를 신뢰하는 경우 TCP/IP 연결에 적합합니다. 에 의해 서버에 연결이 허용된 모든 머신pg_hba.conf지정하는 라인신뢰. 사용하는 것이 거의 합리적이지 않습니다.신뢰모든 TCP/IP 연결의 경우 기타 그보다로컬호스트 (127.0.0.1).
비밀번호 기반 인증 방법은 다음과 같습니다.md5, 암호및비밀번호. 이러한 방법은 작동 비밀번호가 전송되는 방식을 제외하고는 유사합니다. 연결. 그러나암호그렇습니다 암호화된 비밀번호가 저장되는 것을 허용하지 않음pg_shadow.
비밀번호가 걱정된다면"냄새를 맡는 중"다음 공격md5바람직함, 다음과 함께암호지원해야 하는 경우 두 번째 선택 7.2 이전 클라이언트. 일반비밀번호해야 한다 특히 공개 인터넷을 통한 연결은 피하세요. (사용하지 않는 한SSL, SSH 또는 주변의 다른 통신 보안 래퍼 연결).
토토 사이트 순위데이터베이스 비밀번호는 운영 체제 사용자 비밀번호와 별개입니다. 각 데이터베이스 사용자의 비밀번호는pg_shadow시스템 카탈로그 테이블. 비밀번호는 다음과 같습니다. SQL 명령으로 관리됨사용자 생성그리고사용자 변경, 예:비밀번호 'secret'을 사용하여 foo 사용자 생성;. 작성자: 기본값, 즉 비밀번호가 설정되지 않은 경우 저장된 비밀번호는 null이며 비밀번호 인증은 항상 실패합니다. 해당 사용자에 대해.
케르베로스은 산업 표준 보안 토토 사이트 순위 시스템에 적합 공용 네트워크를 통한 분산 컴퓨팅. 에 대한 설명케르베로스시스템이 멀다 이 문서의 범위를 벗어나는 것 전체적으로는 그럴 수 있다. 꽤 복잡하지만 (아직 강력함)케르베로스FAQ또는MIT 프로젝트 아테나탐험을 위한 좋은 출발점이 될 수 있습니다. 여러 소스케르베로스배포판이 존재합니다.
그동안포스트그레SQL지원 Kerberos 4와 Kerberos 5 모두 Kerberos 5만 권장됩니다. Kerberos 4는 안전하지 않은 것으로 간주되어 더 이상 권장되지 않습니다. 일반적인 용도.
사용하기 위해케르베로스, 이에 대한 지원은 빌드 시 활성화되어야 합니다. 참조14장16553_16678
토토 사이트 순위다음과 같이 작동합니다 일반 Kerberos 서비스. 서비스 주체의 이름은 다음과 같습니다.서비스 이름/호스트 이름@영역, 여기서서비스 이름is포스트그레스(다른 서비스 이름이 아닌 경우) 구성 시 선택됨./구성 --with-krb-srvnam=무엇이든). 호스트 이름은 정규화된 호스트 이름입니다. 서버 기계의. 서비스 주체의 영역은 다음과 같습니다. 서버 시스템의 선호 영역입니다.
클라이언트 주체는 다음을 가져야 합니다.토토 사이트 순위사용자 이름을 첫 번째로 예를 들어 구성요소pgusername/otherstuff@realm. 현재는 클라이언트의 영역은 다음으로 확인되지 않습니다.토토 사이트 순위; 따라서 교차 영역이 있는 경우 인증이 활성화된 다음 해당 영역의 모든 주체 당신과 의사소통할 수 있는 것은 받아들여질 것입니다.
서버 키 파일을 읽을 수 있는지 확인하십시오(그리고 읽기만 가능함) by the토토 사이트 순위서버 계정. (또한 참조섹션 16.1.) 키 파일의 위치는 다음으로 지정됩니다.krb_server_keyfile구성 매개변수. (또한 참조섹션 16.4.) 기본값은/etc/srvtabKerberos를 사용하는 경우 4와/usr/local/pgsql/etc/krb5.keytab(또는 어느 쪽이든) 디렉토리는 다음과 같이 지정되었습니다.sysconfdir빌드 시간에) Kerberos 5를 사용합니다.
keytab 파일을 생성하려면 다음을 사용하십시오(버전 포함) 5)
kadmin%ank -randkey postgres/server.my.domain.org kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
읽기케르베로스자세한 내용은 문서를 참조하세요.
데이터베이스에 연결할 때 티켓이 있는지 확인하세요 요청된 데이터베이스 사용자 이름과 일치하는 주체에 대해 안 예: 데이터베이스 사용자 이름의 경우프레드, 둘 다 교장fred@EXAMPLE.COM및fred/users.example.com@EXAMPLE.COM할 수 있다 데이터베이스 서버에 인증하는 데 사용됩니다.
사용하는 경우mod_auth_kerbfromhttp://modauthkerb.sf.net그리고mod_perl당신의아파치웹 서버를 사용할 수 있습니다토토 사이트 순위 유형 KerberosV5SaveCredentials와mod_perl스크립트. 이것은 웹을 통한 보안 데이터베이스 액세스, 추가 비밀번호 없음 필수입니다.
신원 인증 방법은 클라이언트의 운영 체제 사용자 이름을 확인한 다음 허용되는 데이터베이스 사용자 이름을 나열하는 맵 파일을 사용하여 해당 이름 쌍이 허용됩니다. 결정 클라이언트의 사용자 이름은 보안에 중요한 포인트이며 연결 유형에 따라 다르게 작동합니다.
그"식별 프로토콜"다음에 설명되어 있습니다.RFC 1413. 사실상 모든 Unix 계열 운영 체제에는 ident 서버가 함께 제공됩니다. 기본적으로 TCP 포트 113에서 수신 대기합니다. 기본 ident 서버의 기능은 다음과 같은 질문에 답하는 것입니다."어떤 사용자가 연결을 시작했는지 항구 밖으로 나간다X그리고 내 포트에 연결됩니다.Y?". 이후토토 사이트 순위둘 다 안다X그리고Y물리적 연결이 설정되면 질의할 수 있습니다. 연결 클라이언트 호스트의 ident 서버 및 이론적으로 운영 체제 사용자를 결정할 수 있습니다. 어떤 주어진 연결도 이런 식으로 이루어집니다.
이 절차의 단점은 다음에 따라 다르다는 것입니다. 클라이언트의 무결성: 클라이언트 시스템을 신뢰할 수 없는 경우 또는 공격자가 손상되면 거의 모든 프로그램을 실행할 수 있습니다. 포트 113에서 그가 선택한 사용자 이름을 반환합니다. 이 따라서 인증 방법은 다음에만 적합합니다. 각 클라이언트 시스템이 긴밀하게 연결되어 있는 폐쇄형 네트워크 데이터베이스 및 시스템 관리자가 제어하는 위치 긴밀한 접촉으로 운영됩니다. 즉, 당신은 신뢰해야합니다 ident 서버를 실행하는 머신. 경고에 유의하세요.
|
식별 프로토콜은 다음 목적으로 사용되지 않습니다. 승인 또는 액세스 제어 프로토콜. |
||
| --RFC 1413 | ||
일부 ident 서버에는 다음을 유발하는 비표준 옵션이 있습니다. 반환된 사용자 이름은 암호화할 키를 사용하여 암호화됩니다. 원래 시스템의 관리자는 알고 있습니다. 이 옵션해서는 안 됩니다사용되다 ident 서버를 사용할 때토토 사이트 순위, 이후토토 사이트 순위할 수 있는 방법이 없습니다 실제 사용자를 확인하기 위해 반환된 문자열을 해독합니다. 이름.
지원하는 시스템에서SO_PEERCREDUnix 도메인 소켓에 대한 요청(현재리눅스, FreeBSD, NetBSD, OpenBSD및BSD/OS), 신원 토토 사이트 순위도 가능합니다. 로컬 연결에 적용됩니다. 이 경우 보안 위험은 없습니다. ID 토토 사이트 순위을 사용하여 추가됩니다. 실제로 그것은 이러한 시스템의 로컬 연결에 선호되는 선택입니다.
다음이 없는 시스템에서SO_PEERCRED요청, ID 인증은 TCP/IP에서만 가능합니다. 연결. 해결 방법으로 다음을 지정할 수 있습니다.로컬호스트주소127.0.0.1그리고 만들다 이 주소로 연결됩니다. 이 방법은 신뢰할 수 있는 로컬 ID 서버를 신뢰하는 정도.
ID 기반 인증을 사용할 때, 운영 체제 사용자의 이름을 확인했습니다. 연결을 시작했습니다.포스트그레SQL해당 사용자가 다음인지 확인합니다. 그가 요청한 데이터베이스 사용자로 연결할 수 있습니다 다음과 같이 연결합니다. 이는 ident 맵 인수에 의해 제어됩니다. 다음을 따른다ident키워드pg_hba.conf파일. 있다 사전 정의된 ID 맵동일사용자, 모든 운영 체제 사용자가 데이터베이스로 연결할 수 있도록 허용 동일한 이름의 사용자(후자가 존재하는 경우) 다른 지도는 반드시 수동으로 생성됩니다.
다음 이외의 ID 맵동일사용자기본적으로 이름이 지정된 ident 맵 파일에 정의되어 있습니다.pg_ident.conf클러스터의 데이터에 저장됩니다. 디렉토리. (지도 파일을 다른 곳에 두는 것도 가능하지만, 그러나; 참조하세요ident_file구성 매개변수.) ident 맵 파일에 다음 줄이 포함되어 있습니다. 일반적인 형식:
지도 이름 ident-사용자 이름 데이터베이스-사용자 이름
주석과 공백은 다음과 같은 방식으로 처리됩니다.pg_hba.conf.지도-이름임의의 이름입니다. 이 매핑을 참조하는 데 사용됩니다.pg_hba.conf. 다른 두 필드는 다음을 지정합니다. 어떤 운영 체제 사용자가 어떤 사용자로 연결할 수 있는지 데이터베이스 사용자. 같은지도 이름반복적으로 사용할 수 있습니다. 단일 맵 내에서 더 많은 사용자 매핑을 지정합니다. 없다 특정 데이터베이스 사용자 수에 대한 제한 운영 체제 사용자는 해당할 수도 있고 그 반대일 수도 있습니다.
그pg_ident.conf파일을 읽었습니다. 시작 시 및 주 서버 프로세스(우체국장)은을(를) 수신합니다.SIGHUP신호. 활성 상태에서 파일을 편집하는 경우 시스템에 신호를 보내야 합니다.우체국장(사용pg_ctl 새로고침또는죽여 -HUP) 그것을 만들려면 파일을 다시 읽어보세요.
A pg_ident.conf할 수 있는 파일 와 함께 사용됩니다.pg_hba.conf파일 입력예 19-1다음에 표시됨예제 19-2. 이 예제 설정에서는 누구나 컴퓨터에 로그인했습니다. 192.168 Unix 사용자 이름이 없는 네트워크브라이언, 앤또는로버트아마도 접근 권한이 부여되지 않습니다. 유닉스 사용자로버트그가 다음 경우에만 액세스가 허용됩니다. 다음으로 연결을 시도합니다.토토 사이트 순위사용자밥, 그렇지 않음로버트또는 다른 사람.앤단지 다음으로 연결이 허용됨앤. 사용자브라이언연결이 허용됩니다 둘 중 하나로서브라이언자신 또는 다른 사람손님1.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호PAM(플러그 가능)을 사용하는 것을 제외하고 인증 모듈)을 인증 메커니즘으로 사용합니다. 는 기본 PAM 서비스 이름은 다음과 같습니다.토토 사이트 순위. 선택적으로 직접 제공할 수 있습니다. 서비스 이름 뒤에는팸키워드 파일pg_hba.conf. PAM이 사용됩니다 사용자 이름/비밀번호 쌍의 유효성을 검사하기 위해서만 사용됩니다. 따라서 사용자는 PAM을 사용하려면 먼저 데이터베이스에 이미 존재해야 합니다. 인증. PAM에 대한 자세한 내용은 다음을 읽어보세요.리눅스-PAM페이지그리고솔라리스팸 페이지.