| PostgreSQL 9.3.25 문서 | ||||
|---|---|---|---|---|
| PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵 | 위로 | 19장. 클라이언트 범퍼카 토토 | 다음 | |
다음 하위 섹션에서는 다음의 인증 방법을 설명합니다. 좀 더 자세히.
언제신뢰범퍼카 토토이 지정되었습니다.PostgreSQL누구나 서버에 연결할 수 있습니다. 다음을 사용하여 데이터베이스에 액세스할 수 있는 권한이 있습니다. 지정한 데이터베이스 사용자 이름(수퍼유저 이름도 포함). 의 물론, 제한사항은데이터베이스그리고사용자열은 여전히 적용됩니다. 이 방법 적절한 운영 체제 수준이 있는 경우에만 사용해야 합니다. 서버 연결을 보호합니다.
신뢰인증이 적절하며 단일 사용자 워크스테이션의 로컬 연결에 매우 편리합니다. 일반적으로아님다중 사용자 시스템에서는 그 자체로 적합합니다. 그러나 당신은 사용할 수 있습니다신뢰다중 사용자에서도 머신(서버의 Unix 도메인 소켓에 대한 액세스를 제한하는 경우) 파일 시스템 권한을 사용하는 파일. 이렇게 하려면unix_socket_permissions(아마도unix_socket_group) 구성 매개변수 설명됨PostgreSQL : 문서 : 9.3 : 메이저 토토 사이트 및 인증. 또는 다음을 설정할 수도 있습니다.unix_socket_directories구성 매개변수 적절하게 제한된 디렉토리에 소켓 파일을 배치하십시오.
파일 시스템 권한 설정은 Unix 소켓에만 도움이 됩니다 연결. 로컬 TCP/IP 연결은 다음에 의해 제한되지 않습니다. 파일 시스템 권한. 따라서 파일 시스템을 사용하려는 경우 로컬 보안 권한을 제거하려면호스트 ... 127.0.0.1 ...다음줄pg_hba.conf또는 비-로 변경신뢰범퍼카 토토 방법.
신뢰인증만이 적합합니다 모든 시스템의 모든 사용자를 신뢰하는 경우 TCP/IP 연결용 에 의해 서버에 연결이 허용됩니다.pg_hba.conf지정하는 라인신뢰. 사용하는 것이 거의 합리적이지 않습니다.신뢰이외의 모든 TCP/IP 연결의 경우 에서로컬호스트 (127.0.0.1).
비밀번호 기반 인증 방법은 다음과 같습니다.md5그리고비밀번호. 이것들 비밀번호를 지정하는 방식을 제외하면 메소드는 유사하게 작동합니다. 연결을 통해 전송됩니다(즉, MD5 해시 및 일반 텍스트). 각각.
비밀번호가 걱정된다면"냄새를 맡는 중"다음 공격md5선호됩니다. 일반비밀번호항상 그래야 함 가능하면 피하세요. 그러나md5다음과 함께 사용할 수 없습니다.db_user_namespace기능. 연결이 SSL 암호화로 보호되는 경우비밀번호안전하게 사용할 수 있습니다(SSL을 통해 다음과 같은 경우 인증서 인증이 더 나은 선택일 수 있습니다. SSL 사용에 따라 다름).
포스트그레SQL데이터베이스 비밀번호 운영 체제 사용자 비밀번호와는 별개입니다. 비밀번호는 각 데이터베이스 사용자는pg_authid시스템 카탈로그. 비밀번호를 관리할 수 있습니다 SQL 명령으로스포츠 토토 결과 : 문서 : 9.3 : 사용자 만들기그리고PostgreSQL : 문서 : 9.3 : ALTER 토토 사이트 추천예:비밀번호 '비밀'을 사용하여 foo 사용자 생성. 그렇지 않은 경우 사용자에 대해 비밀번호가 설정되어 있으며 저장된 비밀번호는 null입니다. 해당 사용자에 대한 비밀번호 인증은 항상 실패합니다.
GSSAPI업계 표준입니다. RFC 2743에 정의된 보안 범퍼카 토토을 위한 프로토콜입니다.PostgreSQL지원GSSAPI함께케르베로스RFC 1964에 따른 범퍼카 토토.GSSAPI자동 제공 이를 지원하는 시스템에 대한 인증(Single Sign-On)입니다. 는 인증 자체는 안전하지만 데이터는 인증을 통해 전송됩니다. 다음을 제외하면 데이터베이스 연결은 암호화되지 않은 상태로 전송됩니다.SSL사용됩니다.
언제GSSAPI사용케르베로스, 이는 표준 주체를 사용합니다. 형식서비스 이름/호스트 이름@영역. 부품에 대한 정보는 주체 및 필수 키를 설정하는 방법은 다음을 참조하세요.섹션 19.3.5.
GSSAPI 지원은 다음 경우에 활성화되어야 합니다.PostgreSQL이 건설되었습니다; 참조15장더 많은 정보를 원하시면.
다음 구성 옵션이 지원됩니다.GSSAPI:
1로 설정하면 인증된 사용자의 영역 이름 주체는 전달된 시스템 사용자 이름에 포함됩니다. 사용자 이름 매핑(PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵). 이는 권장되는 구성입니다. 그렇지 않으면 동일한 사용자 이름을 가진 사용자를 구별하는 것은 불가능합니다. 다른 영역에서. 이 매개변수의 기본값은 0(즉, 시스템 사용자 이름에 영역을 포함하지 않도록) 다음으로 변경될 수 있습니다. 1의 향후 버전에서PostgreSQL. 사용자는 명시적으로 다음과 같이 설정할 수 있습니다. 업그레이드 시 문제가 발생하지 않도록 하세요.
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵16930_16987사용자 이름@EXAMPLE.COM(또는 덜 일반적으로,사용자 이름/hostbased@EXAMPLE.COM), 기본 사용자 매핑에 사용되는 이름은 다음과 같습니다.사용자 이름(또는사용자 이름/호스트 기반, 각각), 그렇지 않은 경우include_realm1로 설정되었습니다(예: 권장됨(위 참조), 이 경우사용자 이름@EXAMPLE.COM(또는사용자 이름/hostbased@EXAMPLE.COM)은 다음과 같이 표시됩니다. 매핑 시 시스템 사용자 이름입니다.
사용자 주체 이름과 일치할 영역을 설정합니다. 만약 이 매개변수가 설정되면 해당 영역의 사용자만 허용됩니다. 그렇다면 설정되어 있지 않으면 모든 영역의 사용자가 연결할 수 있습니다. 사용자 이름 매핑이 완료되었습니다.
SSPI은윈도우보안범퍼카 토토 기술 싱글 사인온(SSO)으로.PostgreSQL다음에서 SSPI를 사용합니다협상모드, 이는 사용할 것이다케르베로스가능한 경우 자동으로 다음으로 돌아갑니다.NTLM그 외의 경우.SSPI범퍼카 토토은 둘 다인 경우에만 작동합니다. 서버와 클라이언트가 실행 중입니다.윈도우또는 Windows가 아닌 플랫폼의 경우GSSAPI사용 가능합니다.
사용 시케르베로스범퍼카 토토,SSPI작동합니다 같은 방식으로GSSAPI그렇습니다; 참조섹션 19.3.3자세한 내용은.
다음 구성 옵션이 지원됩니다.SSPI:
1로 설정하면 인증된 사용자의 영역 이름 주체는 전달된 시스템 사용자 이름에 포함됩니다. 사용자 이름 매핑(PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵). 이는 권장되는 구성입니다. 그렇지 않으면 동일한 사용자 이름을 가진 사용자를 구별하는 것은 불가능합니다. 다른 영역에서. 이 매개변수의 기본값은 0(즉, 시스템 사용자 이름에 영역을 포함하지 않도록) 다음으로 변경될 수 있습니다. 1의 향후 버전에서포스트그레SQL. 사용자는 명시적으로 다음과 같이 설정할 수 있습니다. 업그레이드 시 문제가 발생하지 않도록 하세요.
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵19792_19847사용자 이름@EXAMPLE.COM(또는 덜 일반적으로,사용자 이름/hostbased@EXAMPLE.COM), 기본 사용자 매핑에 사용되는 이름은 다음과 같습니다.사용자 이름(또는사용자 이름/호스트 기반, 각각), 그렇지 않은 경우include_realm1로 설정되었습니다(예: 권장됨(위 참조), 이 경우사용자 이름@EXAMPLE.COM(또는사용자 이름/hostbased@EXAMPLE.COM)은 다음과 같이 표시됩니다. 매핑 시 시스템 사용자 이름입니다.
사용자 주체 이름과 일치할 영역을 설정합니다. 만약 이 매개변수가 설정되면 해당 영역의 사용자만 허용됩니다. 그렇다면 설정되어 있지 않으면 모든 영역의 사용자가 연결할 수 있습니다. 사용자 이름 매핑이 완료되었습니다.
참고:기본 Kerberos 인증이 더 이상 사용되지 않습니다. 이전 버전과의 호환성을 위해서만 사용해야 합니다. 신규 및 업그레이드된 설치에는 업계 표준을 사용하는 것이 좋습니다.GSSAPI범퍼카 토토 방법(참조섹션 19.3.3) 대신.
케르베로스은 산업 표준 보안 범퍼카 토토 시스템에 적합 공용 네트워크를 통한 분산 컴퓨팅. 에 대한 설명케르베로스시스템이 그 이상입니다. 이 문서의 범위 전체적으로 보면 상당히 복잡할 수 있습니다 (아직도 강력함).케르베로스FAQ또는MIT Kerberos 페이지탐험을 위한 좋은 출발점이 될 수 있습니다. 여러 소스케르베로스배포판이 존재합니다.케르베로스보안 범퍼카 토토을 제공하지만 쿼리나 데이터를 암호화하지 않습니다. 네트워크를 통해 전달되었습니다. 그 용도로SSL.
포스트그레SQLKerberos 지원 버전 5. 다음 경우에 Kerberos 지원을 활성화해야 합니다.PostgreSQL이 건설되었습니다; 참조제15장더 많은 정보를 원하시면.
포스트그레SQL다음과 같이 작동합니다 일반 Kerberos 서비스. 서비스 주체의 이름은 다음과 같습니다.서비스 이름/호스트 이름@영역.
서비스 이름에 설정할 수 있습니다. 서버 측에서는krb_srvname구성 매개변수 및 클라이언트측에서는krbsrvname연결 매개변수. (또한 참조섹션 31.1.2.) 설치 기본값은 다음에서 변경할 수 있습니다. 기본값포스트그레스빌드 시 다음을 사용하여./configure --with-krb-srvnam=뭐든지. 대부분의 환경에서는 이 매개변수는 변경할 필요가 없습니다. 그러나 다음과 같은 경우에는 필요합니다. 여러 지원PostgreSQL동일한 호스트에 설치. 일부 Kerberos 구현은 다음과 같습니다. 또한 Microsoft Active와 같은 다른 서비스 이름이 필요합니다. 서비스 이름이 대문자여야 하는 디렉터리 (포스트그레스).
호스트 이름완전한 자격을 갖춘 서버 시스템의 호스트 이름입니다. 서비스 주체의 영역은 다음과 같습니다. 서버 시스템의 기본 영역입니다.
클라이언트 주체는 다음을 가져야 합니다.포스트그레SQL데이터베이스 사용자 이름을 첫 번째로 예를 들어 구성요소pgusername@realm. 또는 사용자 이름 매핑을 사용하여 데이터베이스 사용자 이름에 대한 주체 이름의 첫 번째 구성 요소입니다. 작성자: 기본적으로 클라이언트 영역은 확인되지 않습니다.포스트그레SQL. 교차 영역이 있는 경우 인증이 활성화되어 있고 영역을 확인해야 하는 경우 다음을 사용하세요.krb_realm매개변수 또는 활성화include_realm그리고 사용자 이름 매핑을 사용하여 영역.
서버 키탭 파일을 읽을 수 있는지 확인하세요(그리고 읽기만 가능함) by the포스트그레SQL서버 계정. (또한 참조섹션 17.1.) 키의 위치 파일은에 의해 지정됩니다krb_server_keyfile구성 매개변수. 기본값은/usr/local/pgsql/etc/krb5.keytab(또는 뭐든지 디렉토리는 다음과 같이 지정되었습니다.sysconfdir에 빌드 시간).
keytab 파일은 Kerberos 소프트웨어에 의해 생성되었습니다. 참조 자세한 내용은 Kerberos 문서를 참조하세요. 다음 예는 MIT 호환 Kerberos 5 구현:
kadmin%ank -randkey postgres/server.my.domain.org kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
데이터베이스에 연결할 때 다음에 대한 티켓이 있는지 확인하십시오. 요청된 데이터베이스 사용자 이름과 일치하는 주체. 예를 들어, 데이터베이스 사용자 이름의 경우프레드, 교장fred@EXAMPLE.COM접속할 수 있을 겁니다. 주체도 허용하려면fred/users.example.com@EXAMPLE.COM, 사용자 이름을 사용하세요 지도에 설명된 대로PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵.
사용하는 경우mod_auth_kerb그리고mod_perl당신의아파치웹 서버를 사용할 수 있습니다범퍼카 토토 유형 KerberosV5SaveCredentials와mod_perl스크립트. 이는 보안을 제공합니다 추가 비밀번호 없이 웹을 통해 데이터베이스에 액세스 필수입니다.
다음 구성 옵션이 지원됩니다.케르베로스:
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용은.
1로 설정하면 인증된 사용자의 영역 이름 주체는 전달된 시스템 사용자 이름에 포함됩니다. 사용자 이름 매핑(PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵). 이는 여러 사용자를 처리하는 데 유용합니다. 영역.
사용자 주체 이름과 일치할 영역을 설정합니다. 만약 이 매개변수가 설정되면 해당 영역의 사용자만 허용됩니다. 그렇다면 설정되어 있지 않으면 모든 영역의 사용자가 연결할 수 있습니다. 사용자 이름 매핑이 완료되었습니다.
서비스 주체의 호스트 이름 부분을 설정합니다. 이 결합된 와 함께krb_srvname은 다음을 생성하는 데 사용됩니다. 완전한 서비스 주체, 즉krb_srvname/krb_server_hostname@REALM. 설정하지 않으면 기본값은 서버 호스트 이름입니다.
ID 인증 방법은 클라이언트의 ident 서버에서 운영 체제 사용자 이름을 가져와 이를 허용되는 데이터베이스 사용자 이름(선택적 사용자 이름 매핑 포함) 이는 TCP/IP 연결에서만 지원됩니다.
참고:로컬(비TCP/IP)에 대해 ID가 지정된 경우 연결, 피어 범퍼카 토토(참조섹션 19.3.7)이 사용됩니다. 대신.
다음 구성 옵션이 지원됩니다.ident:
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용은.
그"식별 프로토콜"이다 RFC 1413에 설명되어 있습니다. 거의 모든 Unix 계열 운영 체제 기본적으로 TCP 포트 113에서 수신 대기하는 ident 서버와 함께 제공됩니다. ident 서버의 기본 기능은 질문에 답변하는 것입니다. 좋아요"어떤 사용자가 연결을 시작했는지 항구 밖으로 나간다X그리고 내 포트에 연결됩니다.Y?". 이후PostgreSQL둘 다 안다X그리고Y물리적 연결이 설정되면, 연결 호스트의 ident 서버를 조사할 수 있습니다. 클라이언트이며 이론적으로 운영 체제 사용자를 결정할 수 있습니다. 특정 연결에 대해.
이 절차의 단점은 다음에 의존한다는 것입니다. 클라이언트의 무결성: 클라이언트 시스템을 신뢰할 수 없거나 손상되면 공격자는 포트에서 거의 모든 프로그램을 실행할 수 있습니다. 113을 입력하고 그가 선택한 사용자 이름을 반환합니다. 이 인증 방법 따라서 각 클라이언트가 있는 폐쇄형 네트워크에만 적합합니다. 기계가 엄격하게 통제되고 있고 데이터베이스와 시스템이 관리자는 긴밀한 접촉을 통해 운영됩니다. 즉, 당신은해야합니다 ident 서버를 실행하는 시스템을 신뢰하십시오. 경고에 유의하세요.
|
식별 프로토콜은 인증을 위한 것이 아닙니다. 또는 액세스 제어 프로토콜. |
||
| --RFC 1413 | ||
일부 ident 서버에는 다음을 유발하는 비표준 옵션이 있습니다. 암호화할 사용자 이름만 반환한 키를 사용하여 원래 시스템의 관리자는 알고 있습니다. 이 옵션해서는 안 됩니다ID를 사용할 때 사용됩니다. 서버PostgreSQL, 이후포스트그레SQL어떤 방법도 없습니다 실제 사용자를 확인하기 위해 반환된 문자열을 해독합니다. 이름.
피어 인증 방법은 클라이언트의 커널의 운영 체제 사용자 이름을 사용하여 허용되는 데이터베이스 사용자 이름(선택적 사용자 이름 매핑 포함) 이 메서드는 로컬 연결에서만 지원됩니다.
다음 구성 옵션이 지원됩니다.동료:
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용은.
피어 인증은 운영 체제에서만 사용할 수 있습니다.
제공하는getpeereid()함수,SO_PEERCRED소켓 매개변수 또는
유사한 메커니즘. 현재 여기에는 다음이 포함됩니다.리눅스, 대부분의 맛BSD포함맥 OS
엑스및솔라리스.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호비밀번호로 LDAP를 사용하는 것을 제외하고 확인 방법. LDAP는 사용자를 확인하는 데에만 사용됩니다. 이름/비밀번호 쌍. 따라서 사용자가 이미 존재해야 합니다. LDAP 이전의 데이터베이스를 인증에 사용할 수 있습니다.
LDAP 인증은 두 가지 모드로 작동할 수 있습니다. 첫 번째 모드에서는 이를 단순 바인딩 모드라고 부르며, 서버는 다음과 같이 구성된 고유 이름접두사 사용자 이름 접미사. 일반적으로,접두사매개변수는 지정하는 데 사용됩니다.cn=또는DOMAIN\활성 상태 디렉토리 환경입니다.접미사이다 비활성 네트워크에서 DN의 나머지 부분을 지정하는 데 사용됩니다. 디렉토리 환경입니다.
우리가 검색+바인딩 모드라고 부르는 두 번째 모드에서는, 서버는 먼저 고정된 사용자 이름을 사용하여 LDAP 디렉토리에 바인딩하고 비밀번호, 다음으로 지정됨ldapbinddn그리고ldapbindpasswd, 다음을 수행합니다. 데이터베이스에 로그인하려는 사용자를 검색합니다. 사용자가 없는 경우 비밀번호가 구성되면 익명 바인딩이 시도됩니다. 디렉토리. 검색은 다음 위치의 하위 트리에 대해 수행됩니다.ldapbasedn, 그리고 다음을 시도할 것입니다. 에 지정된 속성과 정확히 일치합니다.ldapsearch속성. 일단 사용자가 이 검색에서 발견된 서버는 연결을 끊고 해당 서버에 다시 바인딩합니다. 클라이언트가 지정한 비밀번호를 사용하여 이 사용자로 디렉터리를 설정하고, 로그인이 올바른지 확인합니다. 이 모드도 그거랑 똑같음 다음과 같은 다른 소프트웨어의 LDAP 인증 체계에서 사용됩니다. 아파치 mod_authnz_ldap 및 pam_ldap. 이 방법을 사용하면 사용자 개체의 위치가 훨씬 더 유연해졌습니다. 디렉토리에 있지만 두 개의 별도 연결이 발생합니다. LDAP 서버에 연결됩니다.
다음 구성 옵션은 두 모드 모두에서 사용됩니다:
연결할 LDAP 서버의 이름 또는 IP 주소. 다중 서버는 공백으로 구분하여 지정할 수 있습니다.
연결할 LDAP 서버의 포트 번호. 포트가 없는 경우 지정하면 LDAP 라이브러리의 기본 포트 설정은 다음과 같습니다. 사용되었습니다.
PostgreSQL과 LDAP를 연결하려면 1로 설정하세요. 서버는 TLS 암호화를 사용합니다. 이는 트래픽만 암호화한다는 점에 유의하세요. LDAP 서버에 대한 — 클라이언트에 대한 연결은 계속 유지됩니다. SSL을 사용하지 않는 한 암호화되지 않습니다.
다음 옵션은 단순 바인딩 모드에서만 사용됩니다:
바인딩할 DN을 구성할 때 사용자 이름 앞에 추가할 문자열 단순 바인딩 인증을 수행할 때와 같습니다.
바인딩할 DN을 구성할 때 사용자 이름에 추가할 문자열 단순 바인딩 인증을 수행할 때와 같습니다.
다음 옵션은 검색+바인딩 모드에서만 사용됩니다:
수행 시 사용자 검색을 시작할 루트 DN 검색+바인딩 인증.
검색을 수행하기 위해 디렉토리에 바인드할 사용자의 DN 검색+바인딩 인증을 할 때.
사용자가 다음 작업을 수행하기 위해 디렉토리에 바인드하기 위한 비밀번호 검색+바인딩 인증시 검색하세요.
다음 경우 검색에서 사용자 이름과 일치하는 속성 검색+바인딩 인증을 하고 있습니다. 속성이 지정되지 않으면,UID속성이 사용됩니다.
RFC 4516 LDAP URL. 이것은 일부를 작성하는 대체 방법입니다. 보다 컴팩트하고 표준적인 형태로 다른 LDAP 옵션을 제공합니다. 는 형식은
ldap://호스트[:포트]/기반[?[속성][?[범위]]]
범위다음 중 하나여야 합니다베이스, 하나, 하위, 일반적으로 후자입니다. 속성은 단 하나입니다. 사용되는 표준 LDAP URL의 일부 기타 구성 요소 필터와 확장은 지원되지 않습니다.
비익명 바인드의 경우,ldapbinddn그리고ldapbindpasswd다음과 같이 지정해야 합니다. 별도의 옵션입니다.
암호화된 LDAP 연결을 사용하려면ldaptls추가로 옵션을 사용해야 합니다ldapurl.ldapsURL 구성표(직접 SSL 연결)가 아닙니다. 지원됩니다.
LDAP URL은 현재 OpenLDAP에서만 지원되며 OpenLDAP에서는 지원되지 않습니다. 윈도우.
단순 바인딩에 대한 구성 옵션을 다음과 혼합하는 것은 오류입니다. 검색+바인딩 옵션.
다음은 단순 바인딩 LDAP 구성의 예입니다.
호스트 ... ldap ldapserver=ldap.example.net ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"
데이터베이스 사용자로 데이터베이스 서버에 접속할 때someuser요청되면 PostgreSQL이 DN을 사용하여 LDAP 서버에 바인딩을 시도합니다.cn=someuser, dc=예, dc=net그리고 비밀번호 클라이언트가 제공합니다. 해당 연결이 성공하면 데이터베이스는 액세스 권한이 부여되었습니다.
다음은 검색+바인딩 구성의 예입니다:
호스트 ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchattribute=uid
데이터베이스 사용자로 데이터베이스 서버에 접속할 때someuser요청되면 PostgreSQL이 익명으로 바인딩을 시도합니다(이후ldapbinddn지정되지 않음)을 LDAP 서버에, 다음을 검색해 보세요.(uid=someuser)아래 지정된 기본 DN. 항목이 발견되면 다음을 시도합니다. 발견된 정보와 에서 제공한 비밀번호를 사용하여 바인딩합니다. 클라이언트. 두 번째 연결이 성공하면 데이터베이스 액세스가 부여됩니다.
다음은 URL로 작성된 동일한 검색+바인딩 구성입니다:
호스트 ... ldap ldapurl="ldap://ldap.example.net/dc=example,dc=net?uid?sub"
LDAP에 대한 인증을 지원하는 기타 소프트웨어 동일한 URL 형식을 사용하므로 공유하기가 더 쉽습니다. 구성.
팁:LDAP는 종종 쉼표와 공백을 사용하여 구분하기 때문에 DN의 다른 부분을 사용하려면 종종 다음을 사용해야 합니다. 다음과 같이 LDAP 옵션을 구성할 때 큰따옴표로 묶인 매개변수 값 예시에 나와 있습니다.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호비밀번호로 RADIUS를 사용한다는 점은 제외 확인 방법. RADIUS는 사용자를 확인하는 데에만 사용됩니다. 이름/비밀번호 쌍. 따라서 사용자가 이미 존재해야 합니다. RADIUS 이전의 데이터베이스를 인증에 사용할 수 있습니다.
RADIUS 인증을 사용할 때 액세스 요청 메시지는 구성된 RADIUS 서버로 전송됩니다. 이 요청은 유형범퍼카 토토만 가능, 포함 매개변수사용자 이름, 비밀번호(암호화됨) 및NAS 식별자. 요청은 비밀을 사용하여 암호화됩니다. 서버와 공유됩니다. RADIUS 서버는 이에 응답합니다. 서버 중 하나를 사용함액세스 승인또는액세스 거부. 에 대한 지원은 없습니다 RADIUS 회계.
다음 구성 옵션이 지원됩니다. 반경:
연결할 RADIUS 서버의 이름 또는 IP 주소. 이 매개변수가 필요합니다.
RADIUS와 안전하게 통신할 때 사용되는 공유 비밀 서버. 이는 PostgreSQL에서 정확히 동일한 값을 가져야 하며 RADIUS 서버. 이 문자열은 최소한 16자. 이 매개변수는 필수입니다.
참고:사용된 암호화 벡터는 암호화가 강한 경우포스트그레SQL다음을 지원하도록 구축되었습니다.오픈SSL. 다른 경우에는 RADIUS 서버로의 전송만 고려해야 합니다. 난독화되고 보안되지 않으며 외부 보안 조치가 필요합니다. 필요한 경우 적용됩니다.
연결할 RADIUS 서버의 포트 번호. 포트가 없는 경우 지정됨, 기본 포트1812할 것이다 사용할 수 있습니다.
다음으로 사용된 문자열NAS 식별자에 RADIUS 요청. 이 매개변수는 두 번째 매개변수로 사용될 수 있습니다. 예를 들어 사용자가 어떤 데이터베이스 사용자인지 식별하는 매개변수 정책에 사용될 수 있는 인증을 시도 중입니다. RADIUS 서버에서 일치합니다. 식별자가 지정되지 않은 경우 기본값postgresql사용됩니다.
이 인증 방법은 SSL 클라이언트 인증서를 사용하여 다음을 수행합니다. 인증을 수행합니다. 따라서 SSL에만 사용할 수 있습니다. 연결. 이 인증 방법을 사용하면 서버는 클라이언트가 유효한 인증서를 제공하도록 요구합니다. 비밀번호 없음 프롬프트가 클라이언트에 전송됩니다.cn42478_42662cn데이터베이스 사용자 이름과 달라야 합니다.
다음 구성 옵션은 SSL에 지원됩니다 인증서 인증:
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용은.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호PAM(플러그 가능)을 사용한다는 점은 제외 인증 모듈)을 인증 메커니즘으로 사용합니다. 는 기본 PAM 서비스 이름은 다음과 같습니다.postgresql. PAM은 사용자 이름/비밀번호 쌍의 유효성을 검사하는 데에만 사용됩니다. 그러므로 PAM을 사용하려면 먼저 사용자가 데이터베이스에 이미 존재해야 합니다. 인증을 위해. PAM에 대한 자세한 내용은 다음을 읽어보세요.리눅스-PAM페이지.
PAM에는 다음 구성 옵션이 지원됩니다:
PAM 서비스 이름.
참고:PAM이 읽기로 설정된 경우/etc/shadow, 인증이 실패합니다. PostgreSQL 서버는 루트가 아닌 사용자에 의해 시작되었습니다. 그러나 이것은 PAM이 LDAP 또는 기타를 사용하도록 구성된 경우에는 문제가 되지 않습니다. 범퍼카 토토 방법.
| 이전 | 배트맨 토토 : 문서 : 9.3 : 배트맨 토토 9.3.25 문서화 | 다음 |
| 사용자 이름 맵 | 위로 | 범퍼카 토토 문제 |