| Postgresql 9.0.23 문서화 | ||||
|---|---|---|---|---|
| PostgreSQL : 문서 : 9.0 : 사설 토토 사이트 이름 맵 | up | 19 장. 클라이언트 스포츠 토토 사이트 | 다음 | |
다음 하위 섹션은 인증 방법을 설명합니다 더 자세히.
언제신뢰스포츠 토토 사이트은입니다 지정,PostgreSQL가정합니다 서버에 연결할 수있는 사람은 누구나 권한이 있습니다. 데이터베이스 사용자 이름으로 데이터베이스에 액세스하십시오 (슈퍼 서서 이름조차도)를 지정하십시오. 물론 제한이 제한됩니다 그만큼데이터베이스and사용자열은 여전히 적용됩니다. 이 방법이 있어야합니다 적절한 운영 시스템 수준이있을 때만 사용됩니다 서버 연결 보호.
신뢰인증이 적절합니다 단일 사용자의 로컬 연결에 매우 편리합니다 워크 스테이션. 일반적으로not그 자체로 적절한 a 다중 우스 기계. 그러나 사용할 수 있습니다신뢰다기관 기계에서도 서버의 Unix-Domain 소켓 파일을 사용하여 액세스를 제한하십시오 파일 시스템 권한. 이렇게하려면를 설정하십시오.unix_socket_permissions(그리고 아마도unix_socket_group) 구성 매개 변수 AS 설명PostgreSQL :. 또는를 설정할 수 있습니다unix_socket_directory구성 매개 변수로 소켓 파일을 적절하게 제한된 디렉토리에 배치합니다.
파일 시스템 권한 설정 설정 UNIX-Socket에만 도움이됩니다 사이. 로컬 TCP/IP 연결은 제한되지 않습니다 파일 시스템 권한. 따라서 사용하려는 경우 지역 보안에 대한 파일 시스템 권한, 제거호스트 ... 127.0.0.1 ...라인에서pg_hba.conf또는 a로 변경하십시오 비신뢰스포츠 토토 사이트 방법.
신뢰인증은 전용입니다 모든 사용자를 신뢰하는 경우 TCP/IP 연결에 적합합니다. 에 의해 서버에 연결할 수있는 모든 컴퓨터PG_HBA.conf지정하는 선신뢰. 사용하는 것은 합리적이지 않습니다신뢰다른 TCP/IP 연결의 경우 의 것보다LocalHost(127.0.0.1).
암호 기반 스포츠 토토 사이트 방법은입니다.MD5and비밀번호. 이것들 방법은 비밀번호를 제외하고 유사하게 작동합니다. 연결을 통해 전송됩니다. 즉, MD5 하시 및 명확한 텍스트 각기.
당신이 암호에 대해 전혀 걱정하고 있다면"스니핑"공격MD5선호됩니다. 솔직한비밀번호가능하면 항상 피해야합니다. 하지만,MD5db_user_namespace기능. 연결이 SSL 암호화로 보호되면비밀번호안전하게 사용할 수 있습니다 (그러나 SSL 스포츠 토토 사이트서 스포츠 토토 사이트은 하나가 더 나은 선택 일 수 있습니다. SSL 사용에 따라 다릅니다).
PostgreSQL데이터베이스 암호는 운영 체제 사용자 비밀번호와 별개입니다. 각 데이터베이스 사용자의 비밀번호는에 저장됩니다.pg_authid시스템 카탈로그. 암호는 될 수 있습니다 SQL 명령으로 관리사용자 만들기and사용자, 예 :비밀번호 'Secret'을 사용하여 사용자 foo 생성. 아니오 비밀번호는 사용자를 위해 설정되었으며 저장된 비밀번호는 다음과 같습니다. NULL 및 비밀번호 인증은 항상 실패합니다 사용자.
GSSAPIis 정의 된 보안 스포츠 토토 사이트을위한 산업 표준 프로토콜 RFC 2743.PostgreSQL지원GSSAPIwithKerberosRFC에 따른 스포츠 토토 사이트 1964.gssapi제공 시스템에 대한 자동 인증 (단일 사인온) 지원하십시오. 인증 자체는 안전하지만 데이터입니다 데이터베이스 연결을 통해 전송되면 암호화되지 않은 전송됩니다 하지 않는 한SSL사용됩니다.
언제gssapi용도Kerberos, 표준을 사용합니다 형식의 교장ServiceName/hostname@Realm. 에 대한 정보 교장의 일부 및 필요한 키를 설정하는 방법, 보다섹션 19.3.5.
GSSAPI 지원이 활성화되어야합니다.PostgreSQL건축되었습니다. 보다15 장자세한 내용은
다음 구성 옵션이 지원됩니다gssapi:
로 설정된 경우1, 영역 이름 인증 된 사용자 교장에서 사용자 이름 매핑을 통해 전달되는 시스템 사용자 이름 (PostgreSQL : 문서 : 9.0 : 사설 토토 사이트 이름 맵). 권장 구성은 그렇지 않으면 다음과 같습니다 사용자를 동일하게 구별하는 것은 불가능합니다 다른 영역에서 온 사용자 이름. 기본값 이 매개 변수는 0입니다 (영역을 포함하지 않음은 의미 시스템 사용자 이름)이지만 향후 1로 변경 될 수 있습니다. 의 버전PostgreSQL. 사용자는 문제를 피하기 위해 명시 적으로 설정할 수 있습니다. 업그레이드.
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다 이름. 보다PostgreSQL : 문서 :자세한 내용. GSSAPI/Kerberos 교장의 경우, 와 같은username@example.com(또는 덜 일반적으로username/hostbased@example.com), The 매핑에 사용되는 기본 사용자 이름은사용자 이름(또는사용자 이름/호스트 기반, 각각),Include_Realm1으로 설정되었습니다 (권장대로 위의 참조), 어떤 경우username@example.com(또는username/hostbased@example.com)는 무엇입니까? 매핑시 시스템 사용자 이름으로 표시됩니다.
사용자 원금 이름과 일치하도록 영역을 설정합니다. 이 매개 변수가 설정되면 해당 영역의 사용자 만 받아 들여집니다. 설정되지 않은 경우 영역의 사용자는 사용자 이름 매핑에 따라 연결됩니다 완료.
SSPIisWindows안전한 기술 단일 사인온으로 스포츠 토토 사이트.PostgreSQLsspi를 사용합니다협상사용되는 모드Kerberos가능하면 자동으로 로 돌아 가기ntlm다른 사례.SSPI스포츠 토토 사이트 서버와 클라이언트 모두 실행중인 경우에만 작동합니다Windows.
사용시Kerberos스포츠 토토 사이트,SSPI같은 방식gssapi보다섹션 19.3.3세부.
다음 구성 옵션이 지원됩니다SSPI:
로 설정된 경우1, 영역 이름 인증 된 사용자 교장에서 사용자 이름 매핑을 통해 전달되는 시스템 사용자 이름 (PostgreSQL : 문서 : 9.0 : 사설 토토 사이트 이름 맵). 권장 구성은 그렇지 않으면 다음과 같습니다 사용자를 동일하게 구별하는 것은 불가능합니다 다른 영역에서 온 사용자 이름. 기본값 이 매개 변수는 0입니다 (영역을 포함하지 않음은 의미 시스템 사용자 이름)이지만 향후 1로 변경 될 수 있습니다. 의 버전PostgreSQL. 사용자는 문제를 피하기 위해 명시 적으로 설정할 수 있습니다. 업그레이드.
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다 이름. 보다PostgreSQL : 문서 :자세한 내용. SSPI/Kerberos 교장의 경우 처럼username@example.com(또는 덜 일반적으로username/hostbased@example.com), The 매핑에 사용되는 기본 사용자 이름은사용자 이름(또는사용자 이름/호스트 기반, 각각),Include_Realm1으로 설정되었습니다 (권장대로 위의 참조), 어떤 경우username@example.com(또는username/hostbased@example.com)는 무엇입니까? 매핑시 시스템 사용자 이름으로 표시됩니다.
사용자 원금 이름과 일치하도록 영역을 설정합니다. 이 매개 변수가 설정되면 해당 영역의 사용자 만 받아 들여집니다. 설정되지 않은 경우 영역의 사용자는 사용자 이름 매핑에 따라 연결됩니다 완료.
참고 :네이티브 Kerberos 인증이있었습니다 더 이상 사용되지 않으며 뒤로만 사용해야합니다 호환성. 새롭고 업그레이드 된 설치가 있습니다 산업 표준 사용 권장GSSAPI스포츠 토토 사이트 방법 (참조섹션 19.3.3) 대신에.
Kerberosis 산업 표준 보안 인증 시스템에 적합합니다 공개 네트워크를 통한 분산 컴퓨팅. 설명 그만큼Kerberos시스템은 그 이상입니다 이 문서의 범위; 전체적으로 그것은 꽤있을 수 있습니다 복잡한 (아직 강력한). 그만큼KerberosFAQ또는MIT Kerberos 페이지탐사를위한 좋은 출발점이 될 수 있습니다. 여러 개의 소스Kerberos분포가 존재합니다.Kerberos보안 스포츠 토토 사이트을 제공하지만 쿼리를 암호화하지는 않습니다 데이터가 네트워크를 통과했습니다. 그 사용을 위해SSL.
PostgreSQL지원 Kerberos 버전 5. Kerberos 지원이 활성화되어야합니다.PostgreSQL건축되었습니다. 보다15 장더 많은 정보.
PostgreSQL처럼 작동합니다 일반적인 kerberos 서비스. 서비스 교장의 이름은입니다.ServiceName/hostname@Realm.
ServiceName를 설정할 수 있습니다 를 사용하는 서버 측KRB_SRVNAME구성 매개 변수 및 클라이언트 측면에서krbsrvname연결 매개 변수. (보다 또한PostgreSQL : 문서 : 9.0 : 데이터베이스 메이저 토토 사이트 제어 기능.) 설치 기본값을 기본값에서 변경할 수 있습니다Postgres빌드 시간을 사용하여./configure-with-krb-srvnam =무엇이든. 대부분의 환경에서, 이것 매개 변수는 변경할 필요가 없습니다. 그러나 필요합니다 다중 지원시PostgreSQL동일한 호스트의 설치. 일부 Kerberos 구현은 다른 것이 필요할 수 있습니다 필요한 Microsoft Active Directory와 같은 서비스 이름 어퍼 케이스에있는 서비스 이름 (Postgres).
hostname는 완전히입니다 서버 시스템의 자격을 갖춘 호스트 이름. 서비스 교장의 영역은 서버의 선호되는 영역입니다 기계.
고객 교장은PostgreSQL데이터베이스 사용자 이름으로 첫 번째 구성 요소, 예를 들어pgusername@realm. 또는 a를 사용할 수 있습니다 사용자 이름 매핑의 첫 번째 구성 요소에서 매핑 데이터베이스 사용자 이름의 주요 이름. 기본적으로 영역 클라이언트의 확인되지 않음PostgreSQL. 당신이 크로스 리알름이있는 경우 스포츠 토토 사이트을 활성화하고 영역을 확인하고 사용이 필요합니다.KRB_REALM매개 변수 또는 enableInclude_Realm그리고 사용자 이름을 사용하십시오 영역을 확인하기 위해 매핑.
서버 keytab 파일을 읽을 수 있는지 확인하십시오 ( 가급적으로 만 읽기)PostgreSQL서버 계정. (참조사설 토토 : 문서 : 9.0 : 사설 토토 사용자 계정.)의 위치 키 파일은에 의해 지정됩니다.KRB_SERVER_KEYFILE구성 매개 변수. 기본값은/usr/local/pgsql/etc/krb5.keytab(또는 무엇이든 디렉토리는로 지정되었습니다.Sysconfdir빌드 시간).
KeyTab 파일은 Kerberos 소프트웨어에 의해 생성됩니다. 보다 자세한 내용은 Kerberos 문서입니다. 다음 예 MIT 호환 Kerberos 5 구현을위한 것입니다 :
Kadmin%Ank -randkey postgres/server.my.domain.org Kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
데이터베이스에 연결할 때 티켓이 있는지 확인하십시오. 요청 된 데이터베이스 사용자 이름과 일치하는 원금의 경우. 을 위한 예, 데이터베이스 사용자 이름의 경우프레드, 주요한fred@example.com연결할 수 있습니다. 또한 교장을 허용하려면fred/users.example.com@example.com, 사용자를 사용하십시오 에 설명 된대로 이름지도섹션 19.2.
사용하는 경우mod_auth_kerbandmod_perlon아파치웹 서버, 사용할 수 있습니다AuthType KerberoSV5Savecredentialswithmod_perl스크립트. 이것은 제공합니다 웹을 통해 데이터베이스 액세스를 추가하지 않고 보안하십시오 필수 암호.
다음 구성 옵션이 지원됩니다Kerberos:
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다 이름. 보다PostgreSQL : 문서 :자세한 내용.
로 설정된 경우1, 영역 이름 인증 된 사용자 교장에서 사용자 이름 매핑을 통해 전달되는 시스템 사용자 이름 (PostgreSQL : 문서 : 9.0 : 사설 토토 사이트 이름 맵). 이것은 여러 사람의 사용자를 처리하는 데 유용합니다 영역.
사용자 원금 이름에 맞게 영역을 설정합니다. 이 매개 변수가 설정되면 해당 영역의 사용자 만 받아 들여집니다. 설정되지 않은 경우 영역의 사용자는 사용자 이름 매핑에 따라 연결됩니다 완료.
서비스 교장의 호스트 이름 부분을 설정합니다. 이것은와 함께KRB_SRVNAME, 완전한 서비스 교장을 생성하는 데 사용됩니다 이다KRB_SRVNAME/KRB_SERVER_HOSTNAME@영역. 설정하지 않으면 기본값은 다음과 같습니다 서버 호스트 이름.
ID 인증 방법은 클라이언트의 운영 체제 사용자 이름 및 허용 데이터베이스 사용자 이름 (선택적 사용자 이름 매핑 포함). 그만큼 클라이언트의 사용자 이름 결정은 다음과 같습니다 보안 크리티컬 포인트이며에 따라 다르게 작동합니다 아래에 설명 된대로 연결 유형.
다음 구성 옵션이 지원됩니다ID:
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다 이름. 보다PostgreSQL : 문서 :자세한 내용.
the"식별 프로토콜"RFC 1413에 설명되어 있습니다. 사실상 모든 유닉스와 같은 작동 시스템은 TCP 포트에서 듣는 ID 서버와 함께 제공됩니다. 기본적으로 113. ID 서버의 기본 기능은 다음과 같습니다 와 같은 질문에 대답하려면"어떤 사용자 포트에서 나오는 연결을 시작했습니다x내 포트에 연결y? ". 부터PostgreSQL둘 다 알고 있습니다x및y물리적 연결이있을 때 설정, 호스트에서 ID 서버를 심문 할 수 있습니다. 연결 클라이언트의 이론적으로 결정할 수 있습니다 주어진 연결에 대한 운영 체제 사용자.
이 절차의 단점은 그것이 클라이언트의 무결성 : 클라이언트 시스템이 신뢰할 수없는 경우 또는 타협 된 공격자는 거의 모든 프로그램을 실행할 수 있습니다. 포트 113에서 그가 선택한 사용자 이름을 반환합니다. 이것 따라서 인증 방법은 적절합니다 각 클라이언트 기계가 빡빡한 닫힌 네트워크 제어 및 데이터베이스 및 시스템 관리자 밀접하게 연락하여 작동합니다. 다시 말해, 당신은 신뢰해야합니다 ID 서버를 실행하는 기계. 경고에 귀를 기울인다 :
|
식별 프로토콜은 의도되지 않습니다 승인 또는 액세스 제어 프로토콜. |
||
| --RFC 1413 | ||
일부 ID 서버에는 비표준 옵션이 있습니다 반환 된 사용자 이름은 암호화 할 키를 사용하여 원래 기계의 관리자는 알고 있습니다. 이 옵션필수사용하십시오 와 함께 ID 서버를 사용할 때PostgreSQL이후PostgreSQL반환 된 문자열을 해독하여 실제 사용자를 결정하십시오 이름.
시스템 지원SO_PEERCREDUNIX-DOMAIN 소켓 요청 (현재Linux, freebsd, NetBsd, OpenBSD, BSD/OS및Solaris), ID 인증도 할 수도 있습니다 로컬 연결에 적용됩니다.PostgreSQL용도SO_PEERCRED운영 체제를 찾기 위해 연결된 클라이언트 프로세스의 이름. 이 경우, 아니요 ID 인증을 사용하여 보안 위험이 추가됩니다. 물론 그러한 지역 연결에 바람직한 선택입니다. 시스템.
시스템에서SO_PEERCRED요청, ID 인증은 TCP/IP에 대해서만 사용할 수 있습니다 사이. 해결 방법으로를 지정할 수 있습니다.LocalHost주소127.0.0.1이 주소에 대한 연결. 이 방법은 신뢰할 수 있습니다 로컬 ID 서버를 신뢰하는 정도.
이 스포츠 토토 사이트 방법은와 유사하게 작동합니다.비밀번호LDAP를 사용하는 것을 제외하고 비밀번호 검증 방법. LDAP는 유효성을 검사하는 데만 사용됩니다 사용자 이름/비밀번호 쌍. 따라서 사용자는 이미 존재해야합니다 LDAP 이전의 데이터베이스에서 인증에 사용될 수 있습니다.
LDAP 스포츠 토토 사이트은 두 모드로 작동 할 수 있습니다. 첫 번째 모드, 서버는 저명한 이름으로 바인딩됩니다 로 구성Prefix 사용자 이름 접미사. 일반적으로접두사매개 변수는 지정하는 데 사용됩니다CN =또는도메인\활성 디렉토리 환경.접미사나머지를 지정하는 데 사용됩니다 비활성 디렉토리 환경에서 DN의 일부.
두 번째 모드에서 서버는 먼저 LDAP에 바인딩합니다. 고정 된 사용자 이름 및 비밀번호가있는 디렉토리 (ldapbinddnandldapbindpasswd그리고 검색을 수행합니다 사용자가 데이터베이스에 로그인하려고합니다. 사용자가없는 경우 비밀번호가 구성되며 익명 바인드가 시도됩니다. 디렉토리. 검색은 하위 트리를 통해 수행됩니다.ldapbasedn에 지정된 속성의 정확한 일치ldapsearchattribute. 속성이없는 경우 지정,uid속성이 될 것입니다 사용된. 이 검색에서 사용자가 발견되면 서버 이 사용자로서 디렉토리를 연결하여 연결하여 클라이언트가 지정한 암호로 로그인이 맞습니다. 이 방법은 훨씬 더 많은 것을 허용합니다 사용자 객체의 위치에있는 유연성 디렉토리이지만 LDAP에 두 개의 별도 연결이 발생합니다. 제작해야 할 서버.
다음 구성 옵션이 지원됩니다 LDAP :
연결할 LDAP 서버의 이름 또는 IP 주소. 여러 서버를 지정하여 분리 할 수 있습니다 공간.
LDAP 서버의 포트 번호를 연결합니다. 포트가 없다면 LDAP 라이브러리의 기본 포트 설정으로 지정됩니다 사용됩니다.
설정1PostgreSQL과 LDAP 서버 간의 연결은 TLS를 사용합니다 암호화. 이것은 트래픽 만 암호화합니다 LDAP 서버 - 클라이언트 연결은 여전히 SSL이 사용되지 않는 한 암호화되지 않음.
DN을 형성 할 때 사용자 이름으로 전부 할 문자열 간단한 바인드 인증을 수행 할 때 바인딩하려면
DN을 형성 할 때 사용자 이름에 추가 할 문자열 간단한 바인드 인증을 수행 할 때 바인딩하려면
Root DN, 사용자 검색을 시작합니다. 검색+바인드 인증 수행.
dn of user of user of user of directi스포츠 토토 사이트 director to perform 검색을 수행 할 때의 검색+인증.
사용자가 디렉토리에 바인딩하는 비밀번호 검색+바인드를 수행 할 때 검색을 수행하십시오 입증.
검색에서 사용자 이름과 일치하는 속성 검색+바인드 인증을 수행 할 때.
참고 :LDAP는 종종 쉼표와 공간을 사용하기 때문에 DN의 다른 부분을 분리하면 종종 필요합니다. LDAP를 구성 할 때 이중 인용 매개 변수 값을 사용합니다 예를 들면 옵션 :
ldapserver = ldap.example.net ldapprefix = "cn ="ldapsuffix = ", dc = example, dc = net"
이 스포츠 토토 사이트 방법은와 유사하게 작동합니다.비밀번호반경을 사용하는 것을 제외하고 비밀번호 검증 방법. 반경은 검증하는 데만 사용됩니다 사용자 이름/비밀번호 쌍. 따라서 사용자는 이미해야합니다 반경을 사용하기 전에 데이터베이스에 존재합니다. 입증.
RADIUS 스포츠 토토 사이트을 사용할 때 액세스 요청 메시지 구성된 RADIUS 서버로 전송됩니다. 이 요청은 할 것입니다 유형의스포츠 토토 사이트 만및 매개 변수 포함사용자 이름, 비밀번호(암호화) 및NAS 식별자. 요청이 암호화됩니다 서버와 비밀을 공유합니다. RADIUS 서버가 있습니다 이 서버에 어느 쪽이든 응답액세스 수용하다또는액세스 거부. 거기 있습니다 반경 회계에 대한 지원 없음.
다음 구성 옵션이 지원됩니다 반지름:
연결할 RADIUS 서버의 이름 또는 IP 주소 에게. 이 매개 변수가 필요합니다.
공유 비밀은 단단히 대화 할 때 사용됩니다 반경 서버. 이것은 정확히 같은 값을 가져야합니다 PostgreSQL 및 Radius 서버. 권장됩니다 이것은 최소 16 자 이상의 문자열입니다. 이것 매개 변수가 필요합니다.
참고 :사용 된 암호화 벡터는 전용입니다 cryptographicly 강력하면PostgreSQL는 지원하여 구축되었습니다 을 위한OpenSSL. ~ 안에 다른 경우, RADIUS 서버로의 전송 난독 화 된 것으로 간주되어야하며, 확보되지 않아야합니다. 외부 보안 조치를 적용해야합니다 필요한.
RADIUS 서버의 포트 번호를 연결합니다. 만약에 포트가 지정되지 않으며 기본 포트1812사용됩니다.
|NAS 식별자반경 요청에서. 이 매개 변수 예를 들어 식별하는 두 번째 매개 변수로 사용할 수 있습니다. 사용자가 시도하는 데이터베이스 사용자 정책 일치에 사용할 수있는 다음으로 인증 반경 서버. 식별자가 지정되지 않은 경우 기본PostgreSQL사용된.
이 인증 방법은 SSL 클라이언트 인증서를 사용합니다 인증을 수행하십시오. 따라서 SSL에만 사용할 수 있습니다 사이. 이 인증 방법을 사용할 때 서버 클라이언트가 유효한 인증서를 제공해야합니다. 아니요 비밀번호 프롬프트가 클라이언트에게 전송됩니다. 그만큼CN(공통 이름) 인증서의 속성 요청 된 데이터베이스 사용자 이름과 비교하고 로그인이 허용됩니다. 사용자 이름 매핑이 될 수 있습니다 허용하는 데 사용CN와 다릅니다 데이터베이스 사용자 이름.
SSL에 대해 다음 구성 옵션이 지원됩니다 인증서 인증 :
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다 이름. 보다PostgreSQL : 문서 :자세한 내용.
이 스포츠 토토 사이트 방법은와 유사하게 작동합니다.비밀번호PAM (Pluggable)을 사용한다는 점을 제외하고 스포츠 토토 사이트 모듈) 스포츠 토토 사이트 메커니즘으로. 그만큼 기본 팸 서비스 이름은PostgreSQL. PAM은 사용자를 검증하는 데만 사용됩니다 이름/비밀번호 쌍. 따라서 사용자는 이미 존재해야합니다 PAM 이전의 데이터베이스는 인증에 사용될 수 있습니다. 을 위한 PAM에 대한 자세한 내용은를 읽으십시오.Linux-Pam페이지및 그만큼SolarisPAM 페이지.
다음 구성 옵션이 지원됩니다 팸 :
PAM 서비스 이름.
참고 :PAM이 읽기 위해 설정된 경우/etc/shadow, 인증이 실패합니다 PostgreSQL 서버는 뿌리가 아닌 것으로 시작되기 때문입니다 사용자. 그러나 PAM이 구성 될 때는 문제가되지 않습니다. LDAP 또는 기타 인증 방법을 사용하려면