| PostgreSQL 9.0.23 문서 | ||||
|---|---|---|---|---|
| PostgreSQL : 문서 : 9.0 : 사설 토토 사이트 이름 맵 | 위로 | 19장. 클라이언트 스포츠 토토 사이트 | 다음 | |
다음 하위 섹션에서는 인증 방법을 설명합니다. 좀 더 자세히.
언제신뢰스포츠 토토 사이트은 지정됨,PostgreSQL가정 서버에 연결할 수 있는 모든 사람에게 권한이 부여됩니다. 어떤 데이터베이스 사용자 이름으로든 데이터베이스에 액세스합니다. 지정합니다(수퍼유저 이름도 포함). 물론, 제한 사항은데이터베이스그리고사용자열은 여전히 적용됩니다. 이 방법은 적절한 운영 체제 수준이 있는 경우에만 사용됩니다. 서버 연결을 보호합니다.
신뢰인증이 적절합니다 단일 사용자의 로컬 연결에 매우 편리합니다. 워크스테이션. 일반적으로아님그 자체로 적합함 다중 사용자 기계. 그러나 다음을 사용할 수 있습니다.신뢰다중 사용자 시스템에서도 다음을 사용하여 서버의 Unix 도메인 소켓 파일에 대한 액세스를 제한합니다. 파일 시스템 권한. 이렇게 하려면unix_socket_permissions(아마도unix_socket_group) 구성 매개변수 설명됨PostgreSQL :. 또는 다음을 설정할 수도 있습니다.unix_socket_directory구성 매개변수 적절하게 제한된 디렉토리에 소켓 파일을 배치하십시오.
파일 시스템 권한 설정은 Unix 소켓에만 도움이 됩니다 연결. 로컬 TCP/IP 연결은 다음에 의해 제한되지 않습니다. 파일 시스템 권한. 그러므로, 사용하고 싶다면 로컬 보안을 위한 파일 시스템 권한을 제거합니다.호스트 ... 127.0.0.1 ...행에서pg_hba.conf또는 다음으로 변경하세요. 비-신뢰스포츠 토토 사이트 방법.
신뢰스포츠 토토 사이트만 가능 모든 사용자를 신뢰하는 경우 TCP/IP 연결에 적합합니다. 에 의해 서버에 연결이 허용된 모든 머신pg_hba.conf지정하는 라인신뢰. 사용하는 것이 거의 합리적이지 않습니다.신뢰모든 TCP/IP 연결의 경우 기타 그보다로컬호스트 (127.0.0.1).
비밀번호 기반 인증 방법은 다음과 같습니다.md5그리고비밀번호. 이것들 비밀번호를 사용하는 방식을 제외하면 메소드는 유사하게 작동합니다. MD5 해시 및 일반 텍스트 연결을 통해 전송됩니다. 각각.
비밀번호가 걱정된다면"냄새를 맡는 중"다음 공격md5선호됩니다. 일반비밀번호가능하다면 항상 피해야 합니다. 그러나md5다음과 함께 사용할 수 없습니다.db_user_namespace기능. 연결이 SSL 암호화로 보호되는 경우비밀번호안전하게 사용할 수 있습니다(하지만 SSL 스포츠 토토 사이트서 스포츠 토토 사이트이 더 나은 선택일 수 있는 경우 SSL 사용에 따라 다름).
PostgreSQL데이터베이스 비밀번호는 운영 체제 사용자 비밀번호와 별개입니다. 각 데이터베이스 사용자의 비밀번호는pg_authid시스템 카탈로그. 비밀번호는 다음과 같습니다. SQL 명령으로 관리됨사용자 생성그리고사용자 변경예:비밀번호 '비밀'을 사용하여 foo 사용자 생성. 그렇지 않은 경우 사용자에게 비밀번호가 설정되어 있으면 저장된 비밀번호는 null 및 비밀번호 인증은 항상 실패합니다. 사용자.
GSSAPI은 보안 스포츠 토토 사이트을 위한 산업 표준 프로토콜에 정의되어 있습니다. RFC 2743.PostgreSQL지원GSSAPI함께케르베로스RFC에 따른 스포츠 토토 사이트 1964.GSSAPI제공 시스템에 대한 자동 인증(Single Sign-On) 그것을 지원하십시오. 인증 자체는 안전하지만 데이터는 데이터베이스 연결을 통해 전송되면 암호화되지 않은 상태로 전송됩니다. 않는 한SSL사용됩니다.
언제GSSAPI사용케르베로스, 표준을 사용합니다. 형식의 교장서비스 이름/호스트 이름@영역. 에 대한 정보는 주체의 일부 및 필수 키를 설정하는 방법, 참조섹션 19.3.5.
GSSAPI 지원은 다음 경우에 활성화되어야 합니다.PostgreSQL이 구축되었습니다. 참조15장더 많은 정보를 원하시면.
다음 구성 옵션이 지원됩니다.GSSAPI:
다음으로 설정된 경우1, 영역 이름 인증된 사용자 주체의 정보가 사용자 이름 매핑을 통해 전달된 시스템 사용자 이름 (PostgreSQL : 문서 : 9.0 : 사설 토토 사이트 이름 맵). 이는 권장되는 구성입니다. 그렇지 않으면 동일한 사용자를 구별하는 것은 불가능합니다. 다른 영역의 사용자 이름입니다. 기본값은 이 매개변수는 0입니다. 즉, 영역을 포함하지 않음을 의미합니다. 시스템 사용자 이름)이지만 나중에 1로 변경될 수 있습니다. 버전PostgreSQL. 사용자는 다음과 같은 경우 문제를 방지하기 위해 이를 명시적으로 설정할 수 있습니다. 업그레이드 중입니다.
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다. 이름. 참조PostgreSQL : 문서 :17679_17746사용자 이름@EXAMPLE.COM(또는 덜 일반적으로,사용자 이름/hostbased@EXAMPLE.COM), 매핑에 사용되는 기본 사용자 이름은 다음과 같습니다.사용자 이름(또는사용자 이름/호스트 기반, 각각), 그렇지 않은 경우include_realm1로 설정되었습니다 (권장 사항은 위 참조), 이 경우사용자 이름@EXAMPLE.COM(또는사용자 이름/hostbased@EXAMPLE.COM)이 무엇인가요? 매핑 시 시스템 사용자 이름으로 표시됩니다.
사용자 주체 이름과 일치할 영역을 설정합니다. 이 매개변수가 설정되면 해당 영역의 사용자만 받아들여진다. 설정하지 않으면 모든 영역의 사용자가 다음을 수행할 수 있습니다. 사용자 이름 매핑에 따라 연결 완료.
SSPI은윈도우보안을 위한 기술 Single Sign-On으로 스포츠 토토 사이트합니다.PostgreSQL다음에서 SSPI를 사용합니다협상사용할 모드케르베로스가능한 경우 자동으로 다시 돌아오다NTLM기타 경우.SSPI스포츠 토토 사이트 서버와 클라이언트가 모두 실행 중일 때만 작동합니다.윈도우.
사용 시케르베로스스포츠 토토 사이트,SSPI작동합니다 같은 방식으로GSSAPI그렇습니다; 참조섹션 19.3.3용 세부사항.
다음 구성 옵션이 지원됩니다.SSPI:
다음으로 설정된 경우1, 영역 이름 인증된 사용자 주체의 정보가 사용자 이름 매핑을 통해 전달된 시스템 사용자 이름 (PostgreSQL : 문서 : 9.0 : 사설 토토 사이트 이름 맵). 이는 권장되는 구성입니다. 그렇지 않으면 동일한 사용자를 구별하는 것은 불가능합니다. 다른 영역의 사용자 이름입니다. 기본값은 이 매개변수는 0입니다. 즉, 영역을 포함하지 않음을 의미합니다. 시스템 사용자 이름)이지만 나중에 1로 변경될 수 있습니다. 버전포스트그레SQL. 사용자는 다음과 같은 경우 문제를 방지하기 위해 이를 명시적으로 설정할 수 있습니다. 업그레이드 중입니다.
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다. 이름. 참조PostgreSQL : 문서 :20969_21034사용자 이름@EXAMPLE.COM(또는, 덜 일반적으로,사용자 이름/hostbased@EXAMPLE.COM), 매핑에 사용되는 기본 사용자 이름은 다음과 같습니다.사용자 이름(또는사용자 이름/호스트 기반, 각각), 그렇지 않은 경우include_realm1로 설정되었습니다 (권장 사항은 위 참조), 이 경우사용자 이름@EXAMPLE.COM(또는사용자 이름/hostbased@EXAMPLE.COM)가 무엇인가요? 매핑 시 시스템 사용자 이름으로 표시됩니다.
사용자 주체 이름과 일치할 영역을 설정합니다. 이 매개변수가 설정되면 해당 영역의 사용자만 받아들여진다. 설정하지 않으면 모든 영역의 사용자가 다음을 수행할 수 있습니다. 사용자 이름 매핑에 따라 연결 완료.
참고:기본 Kerberos 인증이 완료되었습니다. 더 이상 사용되지 않으며 이전 버전에만 사용해야 합니다. 호환성. 신규 및 업그레이드 설치는 다음과 같습니다. 업계 표준을 사용하도록 권장됨GSSAPI스포츠 토토 사이트 방법(참조섹션 19.3.3) 대신.
케르베로스은 산업 표준 보안 스포츠 토토 사이트 시스템에 적합 공용 네트워크를 통한 분산 컴퓨팅. 에 대한 설명케르베로스시스템이 한계를 넘어섰습니다 이 문서의 범위 전체적으로 보면 꽤 그럴 수 있다. 복잡하지만 강력합니다.케르베로스FAQ또는MIT 케르베로스 페이지탐험을 위한 좋은 출발점이 될 수 있습니다. 여러 출처케르베로스배포판이 존재합니다.케르베로스보안 스포츠 토토 사이트을 제공하지만 쿼리를 암호화하지 않거나 네트워크를 통해 전달되는 데이터; 그 용도로SSL.
포스트그레SQL지원하다 Kerberos 버전 5. 다음 경우에 Kerberos 지원을 활성화해야 합니다.포스트그레SQL이 건설되었습니다; 참조15장더 보기 정보.
PostgreSQL다음과 같이 작동합니다 일반 Kerberos 서비스. 서비스 주체의 이름은 다음과 같습니다.서비스 이름/호스트 이름@영역.
서비스 이름설정 가능 서버 측은krb_srvname구성 매개변수 및 클라이언트측에서는 다음을 사용하여krbsrvname연결 매개변수. (참조 또한PostgreSQL : 문서 : 9.0 : 데이터베이스 메이저 토토 사이트 제어 기능.) 설치 기본값은 기본값에서 변경될 수 있습니다.포스트그레빌드 시 다음을 사용하여./configure --with-krb-srvnam=무엇이든지. 대부분의 환경에서는 이 매개변수는 변경할 필요가 없습니다. 그러나 그것은 필요하다 여러 개를 지원할 때PostgreSQL동일한 호스트에 설치. 일부 Kerberos 구현에는 다른 방법이 필요할 수도 있습니다. Microsoft Active Directory와 같은 서비스 이름 서비스 이름은 대문자로 표시됩니다(포스트그레스).
호스트 이름완전히 서버 시스템의 정규화된 호스트 이름입니다. 서비스 주체의 영역은 서버의 기본 영역입니다. 기계.
클라이언트 주체는 다음을 가져야 합니다.PostgreSQL데이터베이스 사용자 이름을 예를 들어 첫 번째 구성요소pgusername@realm. 또는 다음을 사용할 수 있습니다. 사용자 이름 매핑은 첫 번째 구성 요소에서 매핑됩니다. 주체 이름을 데이터베이스 사용자 이름으로 변경합니다. 기본적으로 영역 클라이언트의 확인이 이루어지지 않았습니다.PostgreSQL. 교차 영역이 있는 경우 인증이 활성화되어 있고 영역을 확인해야 하는 경우 다음을 사용하세요.krb_realm매개변수 또는 활성화include_realm그리고 사용자 이름을 사용하세요 영역을 확인하기 위한 매핑입니다.
서버 키탭 파일을 읽을 수 있는지 확인하세요(그리고 읽기만 가능함) by thePostgreSQL서버 계정. (또한 참조사설 토토 : 문서 : 9.0 : 사설 토토 사용자 계정.) 위치 키 파일은 다음으로 지정됩니다.krb_server_keyfile구성 매개변수. 기본값은/usr/local/pgsql/etc/krb5.keytab(또는 뭐든지 디렉토리는 다음과 같이 지정되었습니다.sysconfdir빌드 시).
keytab 파일은 Kerberos 소프트웨어에 의해 생성됩니다. 참조 자세한 내용은 Kerberos 설명서를 참조하세요. 다음 예 MIT 호환 Kerberos 5 구현용입니다.
kadmin%ank -randkey postgres/server.my.domain.org kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
데이터베이스에 연결할 때 티켓이 있는지 확인하십시오 요청된 데이터베이스 사용자 이름과 일치하는 주체에 대해 에 대한 예, 데이터베이스 사용자 이름의 경우프레드, 교장fred@EXAMPLE.COM아마도 연결할 수 있습니다. 주체도 허용하려면fred/users.example.com@EXAMPLE.COM, 사용자를 사용하세요 설명된 대로 이름 맵섹션 19.2.
사용하는 경우mod_auth_kerb그리고mod_perl당신의아파치웹 서버를 사용할 수 있습니다스포츠 토토 사이트 유형 KerberosV5SaveCredentials와 함께mod_perl스크립트. 이것은 추가 비용 없이 웹을 통한 안전한 데이터베이스 액세스 비밀번호가 필요합니다.
다음 구성 옵션이 지원됩니다.케르베로스:
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다. 이름. 참조PostgreSQL : 문서 :자세한 내용은.
다음으로 설정된 경우1, 영역 이름 인증된 사용자 주체의 정보가 사용자 이름 매핑을 통해 전달된 시스템 사용자 이름 (PostgreSQL : 문서 : 9.0 : 사설 토토 사이트 이름 맵). 이는 여러 사용자를 처리하는 데 유용합니다. 영역.
사용자 주체 이름과 일치할 영역을 설정합니다. 이 매개변수가 설정되면 해당 영역의 사용자만 받아들여진다. 설정하지 않으면 모든 영역의 사용자가 다음을 수행할 수 있습니다. 사용자 이름 매핑에 따라 연결 완료.
서비스 주체의 호스트 이름 부분을 설정합니다. 이는 다음과 결합됩니다.krb_srvname, 완전한 서비스 주체를 생성하는 데 사용됩니다. 이다krb_srvname/krb_server_hostname@REALM. 설정하지 않으면 기본값은 서버 호스트 이름.
신원 인증 방법은 클라이언트의 운영 체제 사용자 이름 및 이를 허용된 이름으로 사용 데이터베이스 사용자 이름(선택적 사용자 이름 매핑 포함) 는 클라이언트의 사용자 이름을 결정하는 것은 보안이 중요한 지점이며 상황에 따라 다르게 작동합니다. 아래에 설명된 대로 연결 유형을 선택하세요.
다음 구성 옵션이 지원됩니다.ident:
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다. 이름. 참조PostgreSQL : 문서 :자세한 내용은.
그"식별 프로토콜"은 RFC 1413에 설명되어 있습니다. 거의 모든 Unix 계열 운영 시스템은 TCP 포트를 수신하는 ident 서버와 함께 제공됩니다. 기본적으로 113입니다. ident 서버의 기본 기능은 다음과 같습니다. 다음과 같은 질문에 답하기 위해"어떤 사용자가 포트에서 나가는 연결을 시작했습니다.X그리고 내 포트에 연결Y?". 이후포스트그레SQL둘 다 알고 있습니다X그리고Y물리적 연결이 있을 때 설정되면 호스트의 ident 서버를 조사할 수 있습니다. 연결 클라이언트의 이론적으로 결정할 수 있습니다 특정 연결에 대한 운영 체제 사용자입니다.
이 절차의 단점은 다음에 따라 달라진다는 것입니다. 클라이언트의 무결성: 클라이언트 시스템을 신뢰할 수 없는 경우 또는 손상되면 공격자는 거의 모든 프로그램을 실행할 수 있습니다. 포트 113에서 그가 선택한 사용자 이름을 반환합니다. 이 따라서 인증 방법은 다음에만 적합합니다. 각 클라이언트 시스템이 긴밀하게 연결되어 있는 폐쇄형 네트워크 데이터베이스 및 시스템 관리자가 제어하는 위치 긴밀한 접촉으로 운영됩니다. 즉, 당신은 신뢰해야합니다 ident 서버를 실행하는 머신. 경고에 유의하세요.
|
식별 프로토콜은 승인 또는 액세스 제어 프로토콜. |
||
| --RFC 1413 | ||
일부 ident 서버에는 다음을 유발하는 비표준 옵션이 있습니다. 반환된 사용자 이름은 암호화할 키를 사용하여 원래 시스템의 관리자는 알고 있습니다. 이 옵션해서는 안 됩니다사용되다 ident 서버를 사용할 때PostgreSQL, 이후PostgreSQL할 수 있는 방법이 없습니다 실제 사용자를 확인하기 위해 반환된 문자열을 해독합니다. 이름.
지원하는 시스템에서SO_PEERCREDUnix 도메인 소켓에 대한 요청(현재리눅스, FreeBSD, NetBSD, OpenBSD, BSD/OS및솔라리스), 신원 스포츠 토토 사이트도 가능합니다. 로컬 연결에 적용됩니다.포스트그레SQL사용SO_PEERCRED운영체제를 알아내기 위해 연결된 클라이언트 프로세스의 이름입니다. 이 경우에는 신원 인증을 사용하면 보안 위험이 추가됩니다. 과연 이는 로컬 연결에 선호되는 선택입니다. 시스템.
다음이 없는 시스템에서SO_PEERCRED요청, ID 인증은 TCP/IP에서만 가능합니다. 연결. 해결 방법으로 다음을 지정할 수 있습니다.로컬호스트주소127.0.0.1그리고 만들다 이 주소로 연결됩니다. 이 방법은 신뢰할 수 있는 로컬 ID 서버를 신뢰하는 정도.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호단, LDAP를 비밀번호 확인 방법. LDAP는 유효성을 검사하는 데에만 사용됩니다. 사용자 이름/비밀번호 쌍. 따라서 사용자가 이미 존재해야 합니다. LDAP가 인증에 사용될 수 있기 전에 데이터베이스에 있습니다.
LDAP 인증은 두 가지 모드로 작동할 수 있습니다. 처음에는 모드에서는 서버가 고유 이름에 바인딩됩니다. 다음과 같이 구성됨접두사 사용자 이름 접미사. 일반적으로,접두사매개변수는 지정하는 데 사용됩니다.cn=또는DOMAIN\안에 Active Directory 환경입니다.접미사나머지를 지정하는 데 사용됩니다. Active Directory가 아닌 환경에서는 DN의 일부입니다.
두 번째 모드에서는 서버가 먼저 LDAP에 바인딩됩니다. 고정된 사용자 이름과 비밀번호가 있는 디렉터리(로 지정됨)ldapbinddn그리고ldapbindpasswd, 검색을 수행합니다. 데이터베이스에 로그인을 시도하는 사용자. 사용자가 없는 경우 비밀번호가 구성되면 익명 바인드가 시도됩니다. 디렉토리. 검색은 다음 위치의 하위 트리에 대해 수행됩니다.ldapbasedn, 그리고 그렇게 하려고 노력할 것입니다 에 지정된 속성과 정확히 일치함ldapsearch속성. 속성이 없으면 지정된UID속성은 다음과 같습니다 사용. 이 검색에서 사용자를 찾으면 서버는 다음을 사용하여 이 사용자로 디렉터리 연결을 끊고 다시 바인딩합니다. 로그인을 확인하기 위해 클라이언트가 지정한 비밀번호 맞습니다. 이 방법을 사용하면 훨씬 더 많은 작업을 수행할 수 있습니다. 사용자 개체가 위치에 있는 유연성 디렉터리에 있지만 LDAP에 대한 두 개의 별도 연결이 발생합니다. 서버를 만들겠습니다.
다음 구성 옵션이 지원됩니다. LDAP:
연결할 LDAP 서버의 이름 또는 IP 주소. 여러 서버를 다음으로 구분하여 지정할 수 있습니다. 공백.
연결할 LDAP 서버의 포트 번호. 포트가 없는 경우 지정되면 LDAP 라이브러리의 기본 포트 설정 사용될 예정입니다.
다음으로 설정1만들기 위해 PostgreSQL과 LDAP 서버 간의 연결은 TLS를 사용합니다. 암호화. 이는 다음으로의 트래픽만 암호화한다는 점에 유의하세요. LDAP 서버 — 클라이언트에 대한 연결은 계속 유지됩니다. SSL을 사용하지 않으면 암호화되지 않습니다.
DN을 구성할 때 사용자 이름 앞에 추가할 문자열 단순 바인딩 인증을 수행할 때 바인딩합니다.
DN을 구성할 때 사용자 이름에 추가할 문자열 단순 바인딩 인증을 수행할 때 바인딩합니다.
사용자 검색을 시작할 루트 DN, 다음 경우 검색+바인딩 인증을 하고 있습니다.
수행을 위해 디렉토리에 바인드할 사용자의 DN 검색+바인딩 인증 시 검색합니다.
사용자가 디렉토리에 바인드하기 위한 비밀번호 검색+바인딩 시 검색 수행 인증.
검색에서 사용자 이름과 일치하는 속성 검색+바인딩 인증을 할 때.
참고:LDAP는 종종 쉼표와 공백을 사용하여 DN의 여러 부분을 분리해야 하는 경우가 많습니다. LDAP를 구성할 때 큰따옴표로 묶인 매개변수 값을 사용하려면 옵션은 다음과 같습니다.
ldapserver=ldap.example.net ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호단, RADIUS를 비밀번호 확인 방법. RADIUS는 유효성을 검사하는 데에만 사용됩니다. 사용자 이름/비밀번호 쌍. 따라서 사용자는 이미 RADIUS를 사용하기 전에 데이터베이스에 존재 인증.
RADIUS 인증을 사용할 때 접근 요청 메시지 구성된 RADIUS 서버로 전송됩니다. 이 요청은 유형이다스포츠 토토 사이트만 가능및 다음에 대한 매개변수 포함사용자 이름, 비밀번호(암호화됨) 및NAS 식별자. 요청이 암호화됩니다 서버와 공유된 비밀을 사용합니다. RADIUS 서버는 다음 중 하나를 사용하여 이 서버에 응답합니다.액세스 수락또는액세스 거부. 있다 RADIUS 계정은 지원되지 않습니다.
다음 구성 옵션이 지원됩니다. 반경:
연결할 RADIUS 서버의 이름 또는 IP 주소 에. 이 매개변수는 필수입니다.
안전하게 대화할 때 사용되는 공유 비밀 RADIUS 서버. 이는 정확히 동일한 값을 가져야 합니다. PostgreSQL 및 RADIUS 서버. 권장되는 사항은 다음과 같습니다. 이는 16자 이상의 문자열이어야 합니다. 이 매개변수가 필요합니다.
참고:사용된 암호화 벡터는 다음과 같은 경우 암호화가 강력해야 합니다.포스트그레SQL지원 기능이 내장되어 있습니다. 에 대한오픈SSL. 에서 그 외의 경우에는 RADIUS 서버로 전송 보안되지 않은 난독화된 것으로 간주되어야 합니다. 다음과 같은 경우 외부 보안 조치를 적용해야 합니다. 필요합니다.
연결할 RADIUS 서버의 포트 번호. 만약에 포트가 지정되지 않았습니다. 기본 포트입니다.1812사용됩니다.
다음으로 사용된 문자열NAS 식별자42676_42992postgresql될 것이다 사용되었습니다.
이 인증 방법은 SSL 클라이언트 인증서를 사용하여 다음을 수행합니다. 인증을 수행합니다. 따라서 SSL에만 사용할 수 있습니다. 연결. 이 인증 방법을 사용하면 서버는 클라이언트가 유효한 인증서를 제공하도록 요구합니다. 아니요 비밀번호 프롬프트가 클라이언트로 전송됩니다.cn43578_43774cn~와 다르다 데이터베이스 사용자 이름입니다.
다음 구성 옵션은 SSL에 지원됩니다 인증서 인증:
시스템과 데이터베이스 사용자 간의 매핑을 허용합니다. 이름. 참조PostgreSQL : 문서 :자세한 내용은.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호PAM(플러그 가능)을 사용한다는 점은 제외 인증 모듈)을 인증 메커니즘으로 사용합니다. 는 기본 PAM 서비스 이름은 다음과 같습니다.postgresql. PAM은 사용자를 검증하는 데에만 사용됩니다. 이름/비밀번호 쌍. 따라서 사용자는 이미 존재해야 합니다. PAM 이전의 데이터베이스를 인증에 사용할 수 있습니다. 에 대한 PAM에 대한 자세한 내용은 다음을 읽어보세요.리눅스-PAM페이지그리고솔라리스팸 페이지.
다음 구성 옵션이 지원됩니다. 팸:
PAM 서비스 이름.
참고:PAM이 읽기로 설정된 경우/etc/shadow, 인증이 실패합니다 PostgreSQL 서버는 루트가 아닌 사용자에 의해 시작되기 때문에 사용자. 그러나 PAM이 구성되면 이는 문제가 되지 않습니다. LDAP 또는 기타 인증 방법을 사용합니다.