| Postgresql 9.3.25 문서 | ||||
|---|---|---|---|---|
| PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵 | up | 19 장. 클라이언트 입증 | 다음 | |
다음 하위 섹션에서 인증 방법을 설명합니다 더 자세한.
when신뢰범퍼카 토토이 지정되어 있습니다.postgresql누구든지 가정합니다 서버에 연결할 수 있습니다. 데이터베이스에 액세스 할 수 있습니다. 어떤 데이터베이스 사용자 이름이 지정할 수 있습니다 (슈퍼 서서 이름조차도). 의 코스, 제한 사항데이터베이스and사용자열은 여전히 적용됩니다. 이 방법 적절한 운영 시스템 수준이있을 때만 사용해야합니다 서버 연결 보호.
신뢰인증은 적절합니다 단일 사용자 워크 스테이션에서 로컬 연결에 매우 편리합니다. 일반적으로not다중 사용자 기계에서 적절합니다. 그러나 당신은 그럴 수도 있습니다 사용할 수있는신뢰다중 우스거에서도 머신, 서버의 UNIX- 도메인 소켓에 대한 액세스를 제한하는 경우 파일 시스템 권한을 사용한 파일. 이렇게하려면를 설정하십시오.unix_socket_permissions(그리고 아마도unix_socket_group) 구성 매개 변수 AS 설명PostgreSQL : 문서 : 9.3 : 메이저 토토 사이트 및 인증. 또는를 설정할 수 있습니다unix_socket_directories구성 매개 변수로 소켓 파일을 적절하게 제한된 디렉토리에 배치합니다.
파일 시스템 권한 설정은 UNIX-Socket에만 도움이됩니다 사이. 로컬 TCP/IP 연결은 제한되지 않습니다 파일 시스템 권한. 따라서 파일 시스템을 사용하려는 경우 지역 보안에 대한 권한, 제거호스트 ... 127.0.0.1 ...라인에서pg_hba.conf또는 비로 변경하십시오신뢰범퍼카 토토 방법.
신뢰인증은 적합합니다 모든 컴퓨터의 모든 사용자를 신뢰하는 경우 TCP/IP 연결의 경우 그것은에 의해 서버에 연결할 수 있습니다.pg_hba.conf지정하는 선신뢰. 사용하는 것은 합리적이지 않습니다신뢰그 이외의 TCP/IP 연결 에서LocalHost(127.0.0.1).
암호 기반 범퍼카 토토 방법은입니다.MD5and비밀번호. 이것들 비밀번호가 연결을 가로 질러 전송됩니다 각기.
비밀번호에 대해 전혀 걱정하는 경우"스니핑"공격MD5선호됩니다. 솔직한비밀번호항상 가능하면 피하십시오. 하지만,MD5db_user_namespace기능. 연결이 SSL 암호화로 보호되면비밀번호안전하게 사용할 수 있습니다 (SSL 범퍼카 토토서 범퍼카 토토이있는 경우 범퍼카 토토서 범퍼카 토토이 더 나은 선택 일 수 있습니다. SSL 사용에 따라).
PostgreSQL데이터베이스 비밀번호 운영 체제 사용자 암호와 별개입니다. 비밀번호 각 데이터베이스 사용자는에 저장됩니다.pg_authid시스템 카탈로그. 비밀번호를 관리 할 수 있습니다 SQL 명령스포츠 토토 결과 : 문서 : 9.3 : 사용자 만들기andPostgreSQL : 문서 : 9.3 : ALTER 토토 사이트 추천, 예 :비밀번호 'Secret'으로 사용자 foo 생성. 아니오 사용자를 위해 비밀번호가 설정되었으며 저장된 비밀번호는 null입니다. 그리고 해당 사용자에게는 항상 비밀번호 인증이 실패합니다.
GSSAPI는 산업 표준입니다 RFC 2743에 정의 된 보안 범퍼카 토토 프로토콜.PostgreSQL지원GSSAPIwithKerberosRFC 1964에 따른 범퍼카 토토GSSAPI자동을 제공합니다 이를 지원하는 시스템의 인증 (단일 사인온). 그만큼 인증 자체는 안전하지만 데이터베이스 연결은 암호화되지 않은 발송됩니다SSL사용됩니다.
언제GSSAPI용도Kerberos, 그것은 표준 원칙을 사용합니다 체재ServiceName/hostname@Realm. 부품에 대한 정보 교장 및 필요한 키를 설정하는 방법 참조섹션 19.3.5.
GSSAPI 지원을 활성화해야 할 때PostgreSQL건축되었습니다. 보다15 장자세한 내용은
다음 구성 옵션이 지원됩니다GSSAPI:
1으로 설정된 경우 인증 된 사용자의 영역 이름 교장은 통과 된 시스템 사용자 이름에 포함됩니다. 사용자 이름 매핑 (PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵). 권장 구성은 그렇지 않으면 다음과 같습니다 사용자를 동일한 사용자 이름으로 구별하는 것은 불가능합니다. 다른 영역에서. 이 매개 변수의 기본값은 0입니다 (의미 시스템 사용자 이름에 영역을 포함시키지 않으려면 1 미래 버전의PostgreSQL. 사용자는 명시 적으로 설정할 수 있습니다 업그레이드 할 때 문제를 피하십시오.
시스템과 데이터베이스 사용자 이름간에 매핑 할 수 있습니다. 보다PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용. 을 위한 gssapi/kerberos 교장, 예 :username@example.com(또는 덜 일반적으로username/hostbased@example.com), 기본 사용자 매핑에 사용되는 이름은입니다.사용자 이름(또는사용자 이름/호스트 기반, 각각),Include_Realm1으로 설정되었습니다 (AS 권장, 위 참조),이 경우username@example.com(또는username/hostbased@example.com)는 다음과 같습니다 매핑시 시스템 사용자 이름.
사용자 원금 이름과 일치하도록 영역을 설정합니다. 이 경우 매개 변수가 설정되면 해당 영역의 사용자 만 허용됩니다. 만약 설정되지 않으면 영역의 사용자가 연결할 수 있습니다. 사용자 이름 매핑이 완료되었습니다.
SSPIisWindows안전한 범퍼카 토토을위한 기술 싱글 사인온으로.PostgreSQLsspi를 사용합니다협상모드 사용Kerberos가능하면 그리고 자동으로ntlm다른 경우.SSPI범퍼카 토토은 둘 다만 작동합니다 서버 및 클라이언트가 실행 중입니다Windowsgssapi가능합니다.
사용시Kerberos범퍼카 토토,SSPI같은 방식gssapi보다섹션 19.3.3자세한 내용.
다음 구성 옵션이 지원됩니다SSPI:
1으로 설정된 경우 인증 된 사용자의 영역 이름 교장은 통과 된 시스템 사용자 이름에 포함됩니다. 사용자 이름 매핑 (PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵). 권장 구성은 그렇지 않으면 다음과 같습니다 사용자를 동일한 사용자 이름으로 구별하는 것은 불가능합니다. 다른 영역에서. 이 매개 변수의 기본값은 0입니다 (의미 시스템 사용자 이름에 영역을 포함시키지 않으려면 1 미래 버전의PostgreSQL. 사용자는 명시 적으로 설정할 수 있습니다 업그레이드 할 때 문제를 피하십시오.
시스템과 데이터베이스 사용자 이름간에 매핑 할 수 있습니다. 보다PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용. 을 위한 SSPI/Kerberos 교장, 예 :username@example.com(또는 덜 일반적으로19899_19931), 기본 사용자 매핑에 사용되는 이름은입니다.19999_20009(또는사용자 이름/호스트 기반, 각각),Include_Realm1으로 설정되었습니다 (AS 권장, 위 참조),이 경우username@example.com(또는username/hostbased@example.com)는 다음과 같습니다 매핑시 시스템 사용자 이름.
사용자 원금 이름과 일치하도록 영역을 설정합니다. 이 경우 매개 변수가 설정되면 해당 영역의 사용자 만 허용됩니다. 만약 설정되지 않으면 영역의 사용자가 연결할 수 있습니다. 사용자 이름 매핑이 완료되었습니다.
참고 :네이티브 kerberos 범퍼카 토토이 더 이상 사용되지 않았습니다 후진 호환성에만 사용해야합니다. 새롭고 업그레이드 된 설치는 업계 표준을 사용하도록 권장됩니다GSSAPI범퍼카 토토 방법 (참조섹션 19.3.3) 대신에.
Kerberosis 산업 표준 보안 인증 시스템에 적합합니다 공개 네트워크를 통한 분산 컴퓨팅. 에 대한 설명Kerberos시스템은 그 이상입니다 이 문서의 범위; 전체적으로 그것은 매우 복잡 할 수 있습니다 (아직 강력합니다). 그만큼KerberosFAQ또는MIT Kerberos Page탐사를위한 좋은 출발점이 될 수 있습니다. 몇 가지 출처Kerberos분포가 존재합니다.Kerberos안전한 인증을 제공하지만 쿼리 또는 데이터를 암호화하지 않습니다. 네트워크를 통과했습니다. 그 사용을 위해SSL.
PostgreSQLKerberos를 지원합니다 버전 5. Kerberos 지원이 가능해야합니다.PostgreSQL건축되었습니다. 보다15 장자세한 내용은
PostgreSQL처럼 작동합니다 일반적인 kerberos 서비스. 서비스 교장의 이름은입니다.ServiceName/hostname@Realm.
ServiceName사용 서버 측KRB_SRVNAME구성 매개 변수 및 클라이언트 측면에서krbsrvname연결 매개 변수. (참조섹션 31.1.2.) 설치 기본값을 변경할 수 있습니다 기본Postgres빌드 시간을 사용하여./configure-with-krb-srvnam =무엇이든. 대부분의 환경에서, 이것 매개 변수는 변경할 필요가 없습니다. 그러나 언제라도 필요합니다 다중 지원PostgreSQL같은 호스트의 설치. 일부 Kerberos 구현이 가능합니다 Microsoft Active와 같은 다른 서비스 이름도 필요합니다. 서비스 이름이 대문자에 있어야하는 디렉토리 (Postgres).
hostname는 자격을 갖추고 있습니다 서버 시스템의 호스트 이름. 서비스 교장의 영역은입니다 서버 시스템의 선호되는 영역.
고객 교장은PostgreSQLDatabase 사용자 이름은 첫 번째입니다 구성 요소, 예를 들어pgusername@realm. 또는 사용자 이름 매핑을 사용하여 데이터베이스 사용자 이름에 대한 주요 이름의 첫 번째 구성 요소. 에 의해 기본값, 클라이언트의 영역은에 의해 점검되지 않습니다PostgreSQL. 당신이 크로스 리알름이있는 경우 범퍼카 토토을 활성화하고 영역을 확인하고 사용이 필요합니다.KRB_REALM매개 변수 또는 활성화Include_Realm그리고 사용자 이름 매핑을 사용하여 확인하십시오 왕국.
서버 keytab 파일이 읽을 수 있는지 확인하십시오 ( 가급적으로 만 읽기)PostgreSQL서버 계정. (참조섹션 17.1.) 키의 위치 파일은에 의해 지정됩니다.KRB_SERVER_KEYFILE구성 매개 변수. 기본값은/usr/local/pgsql/etc/krb5.keytab(또는 무엇이든 디렉토리는로 지정되었습니다.Sysconfdirat 제작 시간).
KeyTab 파일은 Kerberos 소프트웨어에 의해 생성됩니다. 참조 자세한 내용은 Kerberos 문서입니다. 다음 예는 MIT 호환 Kerberos 5 구현 :
Kadmin%Ank -randkey postgres/server.my.domain.org Kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
데이터베이스에 연결할 때 티켓이 있는지 확인하십시오. 요청 된 데이터베이스 사용자 이름과 일치하는 주요 원금. 예를 들어, 데이터베이스 사용자 이름Fred, Principalfred@example.com연결할 수 있습니다. 또한 교장을 허용하려면fred/users.example.com@example.com, 사용자 이름을 사용하십시오 map, 설명대로PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵.
사용하는 경우mod_auth_kerbandmod_perlon아파치웹 서버, 사용할 수 있습니다AuthType KerberoSV5Savecredentialswithmod_perl스크립트. 이것은 안전합니다 추가 암호가없는 웹을 통해 데이터베이스 액세스 필수의.
다음 구성 옵션이 지원됩니다Kerberos:
시스템과 데이터베이스 사용자 이름간에 매핑 할 수 있습니다. 보다PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용.
1으로 설정된 경우 인증 된 사용자의 영역 이름 교장은 통과 된 시스템 사용자 이름에 포함됩니다. 사용자 이름 매핑 (PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵). 이것은 여러 사람의 사용자를 처리하는 데 유용합니다 영역.
사용자 원금 이름과 일치하도록 영역을 설정합니다. 이 경우 매개 변수가 설정되면 해당 영역의 사용자 만 허용됩니다. 만약 설정되지 않으면 영역의 사용자가 연결할 수 있습니다. 사용자 이름 매핑이 완료되었습니다.
서비스 교장의 호스트 이름 부분을 설정합니다. 이것은 결합되었습니다 와 함께KRB_SRVNAME는 생성하는 데 사용됩니다 완전한 서비스 교장, 즉KRB_SRVNAME/KRB_SERVER_HOSTNAME@영역. 설정하지 않으면 기본값은 서버 호스트 이름입니다.
ID 인증 방법은 클라이언트를 얻어 작동합니다 ID 서버에서 운영 체제 사용자 이름을 사용하여 허용 데이터베이스 사용자 이름 (선택적 사용자 이름 매핑 포함). 이것은 TCP/IP 연결에서만 지원됩니다.
참고 :Local (Non-TCP/IP)에 ID가 지정된 경우 연결, 피어 인증 (참조섹션 19.3.7)가 사용됩니다 대신에.
다음 구성 옵션이 지원됩니다ID:
시스템과 데이터베이스 사용자 이름간에 매핑 할 수 있습니다. 보다PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용.
the"식별 프로토콜"is RFC 1413에 설명되어 있습니다. 사실상 모든 유닉스와 같은 운영 체제 기본적으로 TCP 포트 113에서 자료를 듣는 ID 서버와 함께 제공됩니다. ID 서버의 기본 기능은 질문에 답하는 것입니다. 좋다"어떤 사용자가 연결을 시작했는지 당신의 항구에서 나가x및 내 포트에 연결y? ". 부터PostgreSQL둘 다 알고 있습니다xandy물리적 연결이 설정되면 연결의 호스트에서 ID 서버를 심문 할 수 있습니다. 클라이언트 및 이론적으로 운영 체제 사용자를 결정할 수 있습니다 주어진 연결에 대해.
이 절차의 단점은 그것이 클라이언트의 무결성 : 클라이언트 머신이 신뢰할 수 없거나 타협하면 공격자는 포트에서 거의 모든 프로그램을 실행할 수 있습니다. 113 그리고 그가 선택한 사용자 이름을 반환하십시오. 이 인증 방법 따라서 각 클라이언트가있는 폐쇄 된 네트워크에만 적합합니다. 머신은 엄격한 제어하에 있으며 데이터베이스 및 시스템의 위치 관리자는 밀접하게 연락하여 작동합니다. 다시 말해, 당신은해야합니다 ID 서버를 실행하는 기계를 신뢰하십시오. 경고에 귀를 기울인다 :
|
식별 프로토콜은 승인으로 의도되지 않습니다 또는 액세스 제어 프로토콜. |
||
| --RFC 1413 | ||
일부 ID 서버에는 비표준 옵션이 있습니다. 반환 된 사용자 이름은 암호화 할 키를 사용하여 원래 기계의 관리자는 알고 있습니다. 이 옵션필수ID를 사용할 때 사용하십시오 가있는 서버postgresql이후PostgreSQL어떤 방법이 없습니다 실제 사용자를 결정하기 위해 반환 된 문자열을 해독하려면 이름.
피어 인증 방법은 클라이언트를 얻어 작동합니다 커널에서 운영 체제 사용자 이름을 사용하여 허용 데이터베이스 사용자 이름 (선택적 사용자 이름 매핑). 이것 방법은 로컬 연결에서만 지원됩니다.
다음 구성 옵션이 지원됩니다피어:
시스템과 데이터베이스 사용자 이름간에 매핑 할 수 있습니다. 보다PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용.
피어 인증은 운영 체제에서만 사용할 수 있습니다
제공getPeereid ()함수,
그만큼SO_PEERCRED소켓 매개 변수 또는
비슷한 메커니즘. 현재 포함Linux, 대부분의 풍미BSD포함Mac OS
엑스및Solaris.
이 범퍼카 토토 방법은와 유사하게 작동합니다.비밀번호LDAP를 비밀번호로 사용한다는 점을 제외하고 검증 방법. LDAP는 사용자를 검증하는 데만 사용됩니다 이름/비밀번호 쌍. 따라서 사용자는 이미 존재해야합니다 LDAP 이전의 데이터베이스는 인증에 사용될 수 있습니다.
LDAP 범퍼카 토토은 두 가지 모드로 작동 할 수 있습니다. 첫 번째 모드에서 우리가 간단한 바인드 모드라고 부를 것입니다. 서버는 로 구성된 저명한 이름접두사 사용자 이름 접미사. 일반적으로접두사매개 변수는 지정하는 데 사용됩니다CN =또는도메인\활성 디렉토리 환경.접미사IS DN의 나머지 부분을 비 활동으로 지정하는 데 사용됩니다. 디렉토리 환경.
두 번째 모드에서는 검색+바인드 모드를 호출합니다. 서버는 먼저 고정 사용자 이름을 가진 LDAP 디렉토리에 바인딩하고 로 지정된 비밀번호ldapbinddnandldapbindpasswd데이터베이스에 로그인하려는 사용자를 검색하십시오. 사용자가없는 경우 비밀번호가 구성되며 익명 바인드가 시도됩니다. 디렉토리. 검색은 하위 트리를 통해 수행됩니다.ldapbasedn지정된 속성의 정확한 일치ldapsearchattribute. 일단 사용자가 있으면 이 검색에서 서버는 클라이언트가 지정한 암호를 사용 하여이 사용자로서 디렉토리 로그인이 올바른지 확인합니다. 이 모드는 그와 동일합니다 다른 소프트웨어에서 LDAP 인증 체계에서 사용합니다. Apache mod_authnz_ldap 및 pam_ldap. 이 방법은 사용자 객체의 위치에서 훨씬 더 유연성이 있습니다 디렉토리에 있지만 두 개의 별도 연결이 발생합니다. LDAP 서버에 만들어집니다.
다음 구성 옵션은 두 모드 모두에서 사용됩니다.
연결할 LDAP 서버의 이름 또는 IP 주소. 다수의 서버를 지정하고 공간으로 구분할 수 있습니다.
연결할 LDAP 서버의 포트 번호. 포트가없는 경우 지정된 LDAP 라이브러리의 기본 포트 설정이 있습니다 사용된.
PostgreSQL과 LDAP 간의 연결을 위해 1으로 설정 서버는 TLS 암호화를 사용합니다. 이것은 트래픽 만 암호화합니다 LDAP 서버 - 클라이언트에 대한 연결은 여전히 SSL이 사용되지 않는 한 암호화되지 않은 것.
다음 옵션은 간단한 바인드 모드에서만 사용됩니다 :
바인딩을 위해 DN을 형성 할 때 사용자 이름으로 전부 할 문자열 간단한 바인드 인증을 수행 할 때
바인딩을 위해 DN을 형성 할 때 사용자 이름에 추가 할 문자열 간단한 바인드 인증을 수행 할 때
다음 옵션은 검색+바인드 모드에서만 사용됩니다 :
루트 DN, 수행 할 때 사용자 검색을 시작하려면 검색+바인드 인증.
검색을 수행하기 위해 디렉토리에 바인딩 할 사용자의 DN 검색+바인드 인증을 수행 할 때.
사용자가 수행하기 위해 디렉토리에 바인딩하는 비밀번호 검색을 수행 할 때 검색+바인드 인증.
검색에서 사용자 이름과 일치하는 속성. 검색+바인드 인증 수행. 속성이 지정되지 않은 경우uid속성이 사용됩니다.
RFC 4516 LDAP URL. 이것은 일부를 작성하는 대안적인 방법입니다 다른 LDAP 옵션 중보다 컴팩트하고 표준적인 형태입니다. 그만큼 형식은
ldap : //host[:포트]/기반[? [속성] [? [스코프]]]
스코프베이스, ONE, sub, 일반적으로 후자. 하나의 속성 만 있습니다 사용, 표준 LDAP URL의 다른 구성 요소 필터 및 확장은 지원되지 않습니다.
비인형 바인드의 경우ldapbinddn및ldapbindpasswd는 다음과 같이 지정해야합니다 별도의 옵션.
암호화 된 LDAP 연결을 사용하려면ldaptls옵션을 사용해야합니다ldapurl. 그만큼LDAPSURL 구성표 (Direct SSL Connection)는 그렇지 않습니다 지원.
LDAP URL은 현재 OpenLDAP에서만 지원됩니다. Windows.
간단한 바인드를 위해 구성 옵션을 혼합하는 오류입니다. 검색+바인드 옵션
간단한 바인드 LDAP 구성의 예는 다음과 같습니다.
호스트 ... ldap ldapserver = ldap.example.net ldapprefix = "cn ="ldapsuffix = ", dc = example, dc = net"
데이터베이스 서버에 데이터베이스 사용자로 연결되는 경우대소점요청이 요청됩니다 DN을 사용하여 LDAP 서버에 바인딩하려고 시도합니다CN = NODUSER, DC = 예제, DC = NET및 비밀번호 고객이 제공합니다. 해당 연결이 성공하면 데이터베이스가 있습니다 액세스가 부여됩니다.
검색+바인드 구성의 예는 다음과 같습니다.
host ... ldap ldapserver = ldap.example.net ldapbasedn = "dc = example, dc = net"ldapsearchattribute = uid
데이터베이스 서버에 데이터베이스 사용자로 연결되는 경우대소점요청됩니다 익명으로 묶으려고 시도하십시오 (이후ldapbinddn지정되지 않음) LDAP 서버, 검색 수행(uid = sysuer)지정된 기본 DN. 항목이 발견되면 시도합니다 발견 된 정보와 클라이언트. 두 번째 연결이 성공하면 데이터베이스에 액세스 할 수 있습니다 승인됩니다.
여기 URL로 작성된 동일한 검색+바인드 구성이 있습니다 :
host ... ldap ldapurl = "ldap : //ldap.example.net/dc=example ,dc=net? uid? sub"
LDAP에 대한 인증을 지원하는 다른 소프트웨어 동일한 URL 형식을 사용하므로 공유하기가 더 쉽습니다. 구성.
팁 :LDAP는 종종 쉼표와 공간을 사용하여 분리하기 때문에 종종 DN의 다른 부분은 종종 사용해야합니다. LDAP 옵션을 구성 할 때 두 배의 매개 변수 값 예제에 표시됩니다.
이 범퍼카 토토 방법은와 유사하게 작동합니다.비밀번호반경을 암호로 사용한다는 점을 제외하고 검증 방법. 반경은 사용자를 검증하는 데만 사용됩니다 이름/비밀번호 쌍. 따라서 사용자는 이미 존재해야합니다 반경 전 데이터베이스는 인증에 사용될 수 있습니다.
RADIUS 인증을 사용할 때 액세스 요청 메시지가 표시됩니다 구성된 RADIUS 서버로 전송됩니다. 이 요청은 다음과 같습니다 유형범퍼카 토토 만및 포함 에 대한 매개 변수사용자 이름, 비밀번호(암호화) 및NAS 식별자. 요청은 비밀을 사용하여 암호화됩니다 서버와 공유. RADIUS 서버가 이에 응답합니다 어느 쪽이든 서버액세스 허가또는액세스 거부. 지원이 없습니다 반경 회계.
다음 구성 옵션이 지원됩니다 반지름:
RADIUS 서버의 이름 또는 IP 주소를 연결합니다. 이것 매개 변수가 필요합니다.
반경과 안전하게 대화 할 때 사용되는 공유 비밀 섬기는 사람. 이것은 postgresql에서 정확히 같은 값을 가져야합니다. 반경 서버. 이것이 적어도 줄이라는 것이 좋습니다. 16 자. 이 매개 변수가 필요합니다.
참고 :사용 된 암호화 벡터는 가능합니다 암호화 적으로 강한 경우PostgreSQL지원을 통해 구축되었습니다OpenSSL. 다른 경우에는 RADIUS 서버로의 전송은 고려해야합니다 난독 화 된, 확보되지 않았으며, 외부 보안 조치가 있어야합니다 필요한 경우 적용.
RADIUS 서버의 포트 번호를 연결합니다. 포트가 없다면 지정되어 있습니다. 기본 포트1812의지 사용하십시오.
NAS 식별자in 반경 요청. 이 매개 변수는 1 초로 사용할 수 있습니다 예를 들어 사용자가 어떤 데이터베이스 사용자인지 식별하는 매개 변수 정책에 사용할 수있는 다음으로 인증을 시도 RADIUS 서버에서 일치합니다. 식별자가 지정되지 않은 경우 기본PostgreSQL사용됩니다.
이 인증 방법은 SSL 클라이언트 인증서를 사용합니다 인증을 수행하십시오. 따라서 SSL에만 사용할 수 있습니다 사이. 이 인증 방법을 사용하면 서버가됩니다 클라이언트가 유효한 인증서를 제공해야합니다. 비밀번호가 없습니다 프롬프트는 클라이언트에게 전송됩니다. 그만큼CN(공통 이름) 인증서의 속성은 요청 된 데이터베이스 사용자 이름은 일치하는 경우 로그인이 다음과 같습니다. 허용된. 사용자 이름 매핑을 사용하여 허용CN데이터베이스 사용자 이름과 다릅니다.
SSL에 대해 다음 구성 옵션이 지원됩니다 인증서 인증 :
시스템과 데이터베이스 사용자 이름간에 매핑 할 수 있습니다. 보다PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 이름 맵자세한 내용.
이 범퍼카 토토 방법은와 유사하게 작동합니다.비밀번호PAM (Pluggable)을 사용한다는 점을 제외하고 인증 모듈) 인증 메커니즘으로. 그만큼 기본 팸 서비스 이름은PostgreSQL. PAM은 사용자 이름/비밀번호 쌍을 검증하는 데만 사용됩니다. 그러므로 PAM을 사용하기 전에 사용자는 이미 데이터베이스에 있어야합니다. 인증을 위해. Pam에 대한 자세한 내용은를 읽으십시오.Linux-Pam페이지.
PAM에 대해 다음 구성 옵션이 지원됩니다.
PAM 서비스 이름.
참고 :PAM이 읽기 위해 설정된 경우/etc/shadow, 인증은 실패합니다 PostgreSQL 서버는 뿌리가 아닌 사용자가 시작합니다. 그러나 이것은입니다 PAM이 LDAP 또는 기타를 사용하도록 구성된 경우 문제가되지 않습니다. 범퍼카 토토 방법.
| 이전 | 배트맨 토토 : 문서 : 9.3 : 배트맨 토토 9.3.25 문서화 | 다음 |
| 사용자 이름 맵 | up | 범퍼카 토토 문제 |