| 롤 토토 : 문서 : 9.5 : 롤 토토 | |||
|---|---|---|---|
| PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵 | 토토 사이트 : 문서 : 9.5 : 클라이언트 인증 | 19장. 클라이언트 토토 캔 | 토토 : 문서 : 9.5 : 인증 문제 |
다음 하위 섹션에서는 인증 방법을 더 자세히 설명합니다.
언제신뢰토토 캔이 지정되었습니다.PostgreSQL서버에 연결할 수 있는 사람은 누구나 자신이 지정하는 데이터베이스 사용자 이름(수퍼유저 이름 포함)을 사용하여 데이터베이스에 액세스할 수 있는 권한이 있다고 가정합니다. 물론,데이터베이스그리고사용자열은 여전히 적용됩니다. 이 방법은 서버 연결에 대한 적절한 운영 체제 수준 보호가 있는 경우에만 사용해야 합니다.
신뢰인증은 단일 사용자 워크스테이션의 로컬 연결에 적합하고 매우 편리합니다. 일반적으로아님다중 사용자 시스템에서는 그 자체로 적합합니다. 그러나 다음을 사용할 수 있습니다.신뢰다중 사용자 시스템에서도 파일 시스템 권한을 사용하여 서버의 Unix 도메인 소켓 파일에 대한 액세스를 제한하는 경우. 이렇게 하려면unix_socket_permissions(아마도unix_socket_group) 다음에 설명된 구성 매개변수PostgreSQL : 문서 : 9.5 : 토토 캔 및 인증. 또는 다음을 설정할 수도 있습니다.unix_socket_directories소켓 파일을 적절하게 제한된 디렉토리에 배치하기 위한 구성 매개변수입니다.
파일 시스템 권한 설정은 Unix 소켓 연결에만 도움이 됩니다. 로컬 TCP/IP 연결은 파일 시스템 권한에 의해 제한되지 않습니다. 따라서 로컬 보안을 위해 파일 시스템 권한을 사용하려면호스트 ... 127.0.0.1 ...다음줄부터pg_hba.conf또는 비-로 변경신뢰토토 캔 방법.
신뢰인증은 서버에 연결하도록 허용된 모든 시스템의 모든 사용자를 신뢰하는 경우에만 TCP/IP 연결에 적합합니다.pg_hba.conf지정하는 라인신뢰. 사용하는 것이 거의 합리적이지 않습니다.신뢰다음 이외의 모든 TCP/IP 연결의 경우로컬호스트 (127.0.0.1).
비밀번호 기반 인증 방법은 다음과 같습니다.md5그리고비밀번호. 이러한 방법은 비밀번호가 연결을 통해 전송되는 방식(각각 MD5 해시 및 일반 텍스트)을 제외하고 유사하게 작동합니다.
비밀번호가 걱정된다면"냄새를 맡는 중"다음 공격md5선호됩니다. 일반비밀번호가능하다면 항상 피해야 합니다. 그러나md5다음과 함께 사용할 수 없습니다.db_user_namespace기능. 연결이 SSL 암호화로 보호되는 경우비밀번호안전하게 사용할 수 있습니다(SSL 사용에 의존하는 경우 SSL 토토 캔서 토토 캔이 더 나은 선택일 수 있지만).
포스트그레SQL데이터베이스 비밀번호는 운영 체제 사용자 비밀번호와 별개입니다. 각 데이터베이스 사용자의 비밀번호는pg_authid시스템 카탈로그. 비밀번호는 SQL 명령어로 관리할 수 있습니다.롤 토토 : 문서 : 9.5 : 사용자 만들기그리고PostgreSQL : 문서 : 9.5 : ALTER 무지개 토토예:비밀번호 '비밀'을 사용하여 foo 사용자 생성. 사용자에 대해 비밀번호가 설정되지 않은 경우 저장된 비밀번호는 null이며 해당 사용자에 대한 비밀번호 인증은 항상 실패합니다.
GSSAPIRFC 2743에 정의된 보안 토토 캔을 위한 업계 표준 프로토콜입니다.포스트그레SQL지원GSSAPI함께케르베로스RFC 1964에 따른 토토 캔.GSSAPI지원하는 시스템에 자동 인증(Single Sign-On)을 제공합니다. 인증 자체는 안전하지만 데이터베이스 연결을 통해 전송된 데이터는 다음과 같은 경우를 제외하고는 암호화되지 않은 상태로 전송됩니다.SSL사용됩니다.
GSSAPI 지원은 다음 경우에 활성화되어야 합니다.PostgreSQL이 구축되었습니다. 참조15장더 많은 정보를 원하시면.
언제GSSAPI사용케르베로스, 다음 형식의 표준 주체를 사용합니다.서비스 이름/호스트 이름@영역. PostgreSQL 서버는 서버에서 사용하는 키탭에 포함된 모든 주체를 허용하지만 다음을 사용하여 클라이언트에서 연결할 때 올바른 주체 세부 정보를 지정하도록 주의해야 합니다.krbsrvname연결 매개변수. (또한 참조섹션 31.1.2.) 설치 기본값은 기본값에서 변경될 수 있습니다.포스트그레빌드 시 다음을 사용하여./configure --with-krb-srvnam=뭐든지. 대부분의 환경에서는 이 매개변수를 변경할 필요가 없습니다. 일부 Kerberos 구현에는 서비스 이름이 대문자여야 하는 Microsoft Active Directory와 같은 다른 서비스 이름이 필요할 수 있습니다(포스트그레스).
호스트 이름은 서버 시스템의 정규화된 호스트 이름입니다. 서비스 주체의 영역은 서버 시스템의 기본 영역입니다.
클라이언트 주체는 다른 주체에 매핑될 수 있습니다.PostgreSQL다음을 포함한 데이터베이스 사용자 이름pg_ident.conf. 예를 들어,pgusername@realm다음에 매핑될 수 있음pgususername. 또는 전체를 사용할 수 있습니다.사용자 이름@렐름principal을 역할 이름으로포스트그레SQL매핑 없음.
포스트그레SQL또한 주체에서 영역을 제거하는 매개변수를 지원합니다. 이 방법은 이전 버전과의 호환성을 위해 지원되며 동일한 사용자 이름을 사용하지만 다른 영역에서 온 여러 사용자를 구별하는 것이 불가능하므로 사용하지 않는 것이 좋습니다. 이를 활성화하려면 다음을 설정하십시오.include_realmto 0. 간단한 단일 영역 설치의 경우,include_realm와 결합krb_realm매개변수(제공된 영역이 다음에 있는 영역과 정확히 일치하는지 확인합니다.krb_realm매개변수)는 안전하지만 명시적인 매핑을 지정하는 것에 비해 성능이 떨어지는 옵션입니다.pg_ident.conf.
다음을 통해 서버 키탭 파일을 읽을 수 있는지 확인하세요(가급적 읽기만 가능).포스트그레SQL서버 계정. (또한 참조PostgreSQL : 문서 : 9.5 : PostgreSQL 무지개 토토 계정.) 키 파일의 위치는 다음으로 지정됩니다.krb_server_keyfile구성 매개변수. 기본값은/usr/local/pgsql/etc/krb5.keytab(또는 다음과 같이 지정된 디렉토리sysconfdir빌드 시). 보안상의 이유로 전용 키탭을 사용하는 것이 좋습니다.PostgreSQL시스템 키탭 파일에 대한 권한을 여는 대신 서버를 사용하세요.
keytab 파일은 Kerberos 소프트웨어에 의해 생성됩니다. 자세한 내용은 Kerberos 설명서를 참조하세요. 다음 예는 MIT 호환 Kerberos 5 구현에 대한 것입니다.
kadmin%ank -randkey postgres/server.my.domain.org kadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
데이터베이스에 연결할 때 요청된 데이터베이스 사용자 이름과 일치하는 주체에 대한 티켓이 있는지 확인하십시오. 예를 들어 데이터베이스 사용자 이름의 경우프레드, 교장fred@EXAMPLE.COM접속할 수 있을 겁니다. 주체도 허용하려면fred/users.example.com@EXAMPLE.COM, 설명된 대로 사용자 이름 맵을 사용합니다.PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵.
다음 구성 옵션이 지원됩니다.GSSAPI:
0으로 설정하면 인증된 사용자 주체의 영역 이름이 사용자 이름 매핑을 통과하기 전에 제거됩니다(PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵). 이는 권장되지 않으며 다중 영역 환경에서는 안전하지 않기 때문에 이전 버전과의 호환성을 위해 주로 사용 가능합니다.krb_realm도 사용됩니다. 사용자는 include_realm을 기본값(1)으로 설정하고 명시적인 매핑을 제공하는 것이 좋습니다.pg_ident.conf.
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵20489_20546사용자 이름@EXAMPLE.COM(또는 덜 일반적으로,사용자 이름/hostbased@EXAMPLE.COM), 매핑에 사용되는 사용자 이름은사용자 이름@EXAMPLE.COM(또는사용자 이름/hostbased@EXAMPLE.COM, 각각), 그렇지 않은 경우include_realm이 경우 0으로 설정되었습니다.사용자 이름(또는사용자 이름/호스트 기반)은 매핑 시 시스템 사용자 이름으로 표시되는 것입니다.
사용자 주체 이름과 일치할 영역을 설정합니다. 이 매개변수가 설정되면 해당 영역의 사용자만 허용됩니다. 설정되지 않은 경우 모든 영역의 사용자는 사용자 이름 매핑이 수행되는 대로 연결할 수 있습니다.
SSPI은윈도우Single Sign-On을 통한 보안 토토 캔 기술.포스트그레SQL다음에서 SSPI를 사용합니다협상사용할 모드케르베로스가능한 경우 자동으로 다음으로 돌아갑니다.NTLM그 외의 경우.SSPI토토 캔은 서버와 클라이언트가 모두 실행 중일 때만 작동합니다.윈도우또는 Windows가 아닌 플랫폼의 경우GSSAPI사용 가능합니다.
사용 시케르베로스토토 캔,SSPI같은 방식으로 작동합니다GSSAPI그렇습니다; 참조섹션 19.3.3자세한 내용은.
다음 구성 옵션이 지원됩니다.SSPI:
0으로 설정하면 인증된 사용자 주체의 영역 이름이 사용자 이름 매핑을 통과하기 전에 제거됩니다. (PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵). 이는 권장되지 않으며 다중 영역 환경에서는 안전하지 않기 때문에 이전 버전과의 호환성을 위해 주로 사용 가능합니다.krb_realm도 사용됩니다. 사용자는 include_realm을 기본값(1)으로 설정하고 명시적인 매핑을 제공하는 것이 좋습니다.pg_ident.conf.
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵23228_23283사용자 이름@EXAMPLE.COM(또는 덜 일반적으로,사용자 이름/hostbased@EXAMPLE.COM), 매핑에 사용되는 사용자 이름은사용자 이름@EXAMPLE.COM(또는사용자 이름/hostbased@EXAMPLE.COM, 각각), 그렇지 않은 경우include_realm이 경우 0으로 설정되었습니다.사용자 이름(또는사용자 이름/호스트 기반)은 매핑 시 시스템 사용자 이름으로 표시되는 것입니다.
사용자 주체 이름과 일치할 영역을 설정합니다. 이 매개변수가 설정되면 해당 영역의 사용자만 허용됩니다. 설정되지 않은 경우 모든 영역의 사용자는 사용자 이름 매핑이 수행되는 대로 연결할 수 있습니다.
ID 인증 방법은 ident 서버에서 클라이언트의 운영 체제 사용자 이름을 획득하고 이를 허용된 데이터베이스 사용자 이름(선택적 사용자 이름 매핑 포함)으로 사용하여 작동합니다. 이는 TCP/IP 연결에서만 지원됩니다.
참고:로컬(비TCP/IP) 연결에 ID가 지정되면 피어 토토 캔(참조섹션 19.3.624655_24680
다음 구성 옵션이 지원됩니다.ident:
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵자세한 내용은.
그"식별 프로토콜"은 RFC 1413에 설명되어 있습니다. 사실상 모든 Unix 계열 운영 체제에는 기본적으로 TCP 포트 113에서 수신 대기하는 ident 서버가 함께 제공됩니다. ident 서버의 기본 기능은 다음과 같은 질문에 답하는 것입니다."당신의 포트에서 나가는 연결을 시작한 사용자는 누구입니까X그리고 내 포트에 연결Y?". 이후PostgreSQL둘 다 알고 있습니다X그리고Y물리적 연결이 설정되면 연결 클라이언트의 호스트에 있는 ident 서버를 조사할 수 있으며 이론적으로 특정 연결에 대한 운영 체제 사용자를 결정할 수 있습니다.
이 절차의 단점은 클라이언트의 무결성에 달려 있다는 것입니다. 클라이언트 시스템이 신뢰할 수 없거나 손상된 경우 공격자는 포트 113에서 거의 모든 프로그램을 실행하고 그가 선택한 사용자 이름을 반환할 수 있습니다. 따라서 이 인증 방법은 각 클라이언트 시스템이 엄격하게 제어되고 데이터베이스와 시스템 관리자가 긴밀한 접촉을 통해 작동하는 폐쇄 네트워크에만 적합합니다. 즉, ident 서버를 실행하는 시스템을 신뢰해야 합니다. 경고에 유의하세요.
|
식별 프로토콜은 인증 또는 액세스 제어 프로토콜로 사용되지 않습니다. |
||
| --RFC 1413 | ||
일부 ID 서버에는 원래 시스템의 관리자만 알고 있는 키를 사용하여 반환된 사용자 이름을 암호화하는 비표준 옵션이 있습니다. 이 옵션해서는 안 됩니다ident 서버를 사용할 때 사용됩니다.PostgreSQL, 이후PostgreSQL실제 사용자 이름을 확인하기 위해 반환된 문자열을 해독할 수 있는 방법이 없습니다.
피어 인증 방법은 커널에서 클라이언트의 운영 체제 사용자 이름을 획득하고 이를 허용된 데이터베이스 사용자 이름으로 사용하는 방식으로 작동합니다(선택적 사용자 이름 매핑 포함). 이 방법은 로컬 연결에서만 지원됩니다.
다음 구성 옵션이 지원됩니다.동료:
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵자세한 내용은.
피어 인증은 다음을 제공하는 운영 체제에서만 사용할 수 있습니다.getpeereid()함수,SO_PEERCRED소켓 매개변수 또는 유사한 메커니즘. 현재 여기에는 다음이 포함됩니다.리눅스, 대부분의 맛BSD포함OS X및솔라리스.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호단, 비밀번호 확인 방법으로 LDAP를 사용한다는 점만 다릅니다. LDAP는 사용자 이름/비밀번호 쌍을 확인하는 데에만 사용됩니다. 따라서 인증에 LDAP를 사용하려면 먼저 사용자가 데이터베이스에 이미 존재해야 합니다.
LDAP 인증은 두 가지 모드로 작동할 수 있습니다. 단순 바인딩 모드라고 부르는 첫 번째 모드에서 서버는 다음과 같이 구성된 고유 이름에 바인딩됩니다.접두사 사용자 이름 접미사. 일반적으로,접두사매개변수는 지정하는 데 사용됩니다.cn=, 또는DOMAIN\Active Directory 환경에서.접미사비Active Directory 환경에서 DN의 나머지 부분을 지정하는 데 사용됩니다.
검색+바인딩 모드라고 부르는 두 번째 모드에서 서버는 먼저 다음으로 지정된 고정된 사용자 이름과 비밀번호를 사용하여 LDAP 디렉토리에 바인딩합니다.ldapbinddn그리고ldapbindpasswd, 데이터베이스에 로그인을 시도하는 사용자에 대한 검색을 수행합니다. 사용자 및 비밀번호가 구성되지 않은 경우 디렉토리에 대한 익명 바인딩이 시도됩니다. 검색은 다음 위치의 하위 트리에 대해 수행됩니다.ldapbasedn, 그리고에 지정된 속성과 정확히 일치하도록 시도합니다.ldapsearch속성. 이 검색에서 사용자를 찾으면 서버는 연결을 끊고 클라이언트가 지정한 비밀번호를 사용하여 이 사용자로 디렉터리에 다시 바인딩하여 로그인이 올바른지 확인합니다. 이 모드는 Apache와 같은 다른 소프트웨어의 LDAP 인증 체계에서 사용되는 것과 동일합니다.mod_authnz_ldap그리고pam_ldap. 이 방법을 사용하면 디렉터리에서 사용자 개체가 위치하는 위치에 훨씬 더 많은 유연성이 허용되지만 LDAP 서버에 대한 두 개의 별도 연결이 생성됩니다.
다음 구성 옵션은 두 모드 모두에서 사용됩니다.
연결할 LDAP 서버의 이름 또는 IP 주소. 여러 서버를 공백으로 구분하여 지정할 수 있습니다.
연결할 LDAP 서버의 포트 번호. 포트가 지정되지 않으면 LDAP 라이브러리의 기본 포트 설정이 사용됩니다.
PostgreSQL과 LDAP 서버 간의 연결이 TLS 암호화를 사용하도록 하려면 1로 설정하세요. 이는 LDAP 서버에 대한 트래픽만 암호화한다는 점에 유의하세요. SSL을 사용하지 않는 한 클라이언트에 대한 연결은 여전히 암호화되지 않습니다.
다음 옵션은 단순 바인딩 모드에서만 사용됩니다:
단순 바인딩 인증을 수행할 때 바인딩할 DN을 구성할 때 사용자 이름 앞에 추가할 문자열.
단순 바인딩 인증을 수행할 때 바인딩할 DN을 구성할 때 사용자 이름에 추가할 문자열.
다음 옵션은 검색+바인딩 모드에서만 사용됩니다:
검색+바인딩 인증을 수행할 때 사용자 검색을 시작하는 루트 DN.
검색+바인딩 인증 시 검색을 수행하기 위해 디렉토리에 바인드할 사용자의 DN.
검색+바인딩 인증 시 검색을 수행하기 위해 사용자가 디렉토리에 바인드하기 위한 비밀번호입니다.
검색+바인딩 인증을 수행할 때 검색에서 사용자 이름과 일치하는 속성입니다. 속성이 지정되지 않으면,UID속성이 사용됩니다.
RFC 4516 LDAP URL. 이는 다른 LDAP 옵션 중 일부를 보다 간결하고 표준적인 형식으로 작성하는 대체 방법입니다. 형식은 다음과 같습니다
ldap://호스트[:포트]/기반[?[속성][?[범위]]]
범위다음 중 하나여야 합니다베이스, 하나, 하위, 일반적으로 후자입니다. 하나의 속성만 사용되며 필터, 확장 등 표준 LDAP URL의 일부 다른 구성요소는 지원되지 않습니다.
비익명 바인드의 경우,ldapbinddn그리고ldapbindpasswd별도의 옵션으로 지정해야 합니다.
암호화된 LDAP 연결을 사용하려면ldaptls추가로 옵션을 사용해야 합니다ldapurl.ldapsURL 구성표(직접 SSL 연결)는 지원되지 않습니다.
LDAP URL은 현재 Windows가 아닌 OpenLDAP에서만 지원됩니다.
단순 바인딩 구성 옵션과 검색+바인딩 옵션을 혼합하는 것은 오류입니다.
다음은 단순 바인딩 LDAP 구성의 예입니다.
호스트 ... ldap ldapserver=ldap.example.net ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"
데이터베이스 사용자로 데이터베이스 서버에 접속할 때someuser요청되면 PostgreSQL은 DN을 사용하여 LDAP 서버에 바인딩을 시도합니다.cn=someuser, dc=예, dc=net그리고 클라이언트가 제공한 비밀번호입니다. 해당 연결이 성공하면 데이터베이스 액세스 권한이 부여됩니다.
다음은 검색+바인딩 구성의 예입니다:
호스트 ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchattribute=uid
데이터베이스 사용자로 데이터베이스 서버에 접속할 때someuser이 요청되면 PostgreSQL은 익명으로 바인딩을 시도합니다(이후ldapbinddn지정되지 않음)을 LDAP 서버로 검색하려면(uid=someuser)지정된 기본 DN 아래. 항목이 발견되면 발견된 정보와 클라이언트가 제공한 비밀번호를 사용하여 바인딩을 시도합니다. 두 번째 연결이 성공하면 데이터베이스 액세스가 허용됩니다.
다음은 URL로 작성된 동일한 검색+바인딩 구성입니다:
호스트 ... ldap ldapurl="ldap://ldap.example.net/dc=example,dc=net?uid?sub"
LDAP에 대한 인증을 지원하는 일부 다른 소프트웨어는 동일한 URL 형식을 사용하므로 구성을 공유하기가 더 쉽습니다.
팁:LDAP는 종종 쉼표와 공백을 사용하여 DN의 다른 부분을 구분하기 때문에 예에 표시된 것처럼 LDAP 옵션을 구성할 때 큰따옴표로 묶인 매개변수 값을 사용해야 하는 경우가 많습니다.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호단, RADIUS를 비밀번호 확인 방법으로 사용한다는 점만 다릅니다. RADIUS는 사용자 이름/암호 쌍을 확인하는 데에만 사용됩니다. 따라서 RADIUS를 인증에 사용하려면 먼저 사용자가 데이터베이스에 이미 존재해야 합니다.
RADIUS 인증을 사용할 때 액세스 요청 메시지가 구성된 RADIUS 서버로 전송됩니다. 이 요청 유형은 다음과 같습니다.토토 캔만 가능, 다음에 대한 매개변수 포함사용자 이름, 비밀번호(암호화됨) 및NAS 식별자. 요청은 서버와 공유된 비밀을 사용하여 암호화됩니다. RADIUS 서버는 다음 중 하나로 이 서버에 응답합니다.액세스 승인또는액세스 거부. RADIUS 계정은 지원되지 않습니다.
RADIUS에는 다음 구성 옵션이 지원됩니다:
연결할 RADIUS 서버의 이름 또는 IP 주소. 이 매개변수는 필수입니다.
RADIUS 서버와 안전하게 통신할 때 사용되는 공유 비밀입니다. 이는 PostgreSQL 및 RADIUS 서버에서 정확히 동일한 값을 가져야 합니다. 16자 이상의 문자열을 사용하는 것이 좋습니다. 이 매개변수는 필수입니다.
참고:사용된 암호화 벡터는 다음의 경우에만 암호학적으로 강력합니다.PostgreSQL다음을 지원하도록 구축되었습니다.오픈SSL. 다른 경우에는 RADIUS 서버로의 전송이 보안되지 않고 난독화된 것으로 간주되어야 하며 필요한 경우 외부 보안 조치를 적용해야 합니다.
연결할 RADIUS 서버의 포트 번호. 포트를 지정하지 않으면 기본 포트1812사용됩니다.
다음으로 사용된 문자열NAS 식별자RADIUS 요청에 있습니다. 이 매개변수는 예를 들어 사용자가 인증을 시도하는 데이터베이스 사용자를 식별하는 두 번째 매개변수로 사용될 수 있으며, 이는 RADIUS 서버에서 정책 일치에 사용될 수 있습니다. 식별자가 지정되지 않은 경우 기본값은postgresql사용됩니다.
이 인증 방법은 SSL 클라이언트 인증서를 사용하여 인증을 수행합니다. 따라서 SSL 연결에만 사용할 수 있습니다. 이 인증 방법을 사용할 때 서버는 클라이언트가 유효한 인증서를 제공하도록 요구합니다. 클라이언트에게 비밀번호 프롬프트가 전송되지 않습니다.cn38958_39142cn데이터베이스 사용자 이름과 달라야 합니다.
SSL 인증서 인증에는 다음 구성 옵션이 지원됩니다:
시스템과 데이터베이스 사용자 이름 간의 매핑을 허용합니다. 참조PostgreSQL : 문서 : 9.5 : 메이저 토토 사이트 이름 맵자세한 내용은.
이 인증 방법은 다음과 유사하게 작동합니다.비밀번호단, 인증 메커니즘으로 PAM(플러그형 인증 모듈)을 사용한다는 점만 다릅니다. 기본 PAM 서비스 이름은 다음과 같습니다.postgresql. PAM은 사용자 이름/비밀번호 쌍의 유효성을 검사하는 데에만 사용됩니다. 따라서 PAM을 인증에 사용하려면 먼저 사용자가 데이터베이스에 이미 존재해야 합니다. PAM에 대한 자세한 내용은 다음을 읽어보세요.리눅스-PAM페이지.
PAM에는 다음 구성 옵션이 지원됩니다:
PAM 서비스 이름.
참고:PAM이 읽기로 설정된 경우/etc/shadow, 루트가 아닌 사용자가 PostgreSQL 서버를 시작했기 때문에 인증이 실패합니다. 그러나 PAM이 LDAP 또는 기타 인증 방법을 사용하도록 구성된 경우 이는 문제가 되지 않습니다.