SSPIisWindows단일 사인온을 사용한 보안 인증을위한 기술.PostgreSQLsspi를 사용합니다협상사용되는 모드Kerberos가능하면 자동으로 돌아 가기ntlm다른 경우.SSPIandgssapi클라이언트 및 서버로 상호 작용합니다 (예 : ANSSPI클라이언트는에 인증 할 수 있습니다GSSAPI서버. 사용하는 것이 좋습니다SSPIWindows 클라이언트 및 서버 및에서GSSAPI비 독사 플랫폼에서.
사용시Kerberos인증,SSPI같은 방식으로 작동gssapi보다PostgreSQL : 문서 : 17 : 20.6. GSSAPI 사설 토토 캔 사이트자세한 내용.
다음 구성 옵션이 지원됩니다SSPI:
Include_Realm0으로 설정하면 토토 캔 이름 매핑 (를 통과하기 전에 인증 된 토토 캔 교장의 영역 이름이 제거됩니다.PostgreSQL : 문서 : 17 : 20.2. 토토 이름지도). 이것은 낙담하며 주로 거꾸로 호환되기 위해 사용할 수 있습니다.KRB_REALM도 사용됩니다. 떠나는 것이 좋습니다Include_Realm기본값 (1)으로 설정하고 명시 적 매핑을 제공하려면pg_ident.conf주 이름을 변환하려면PostgreSQL토토 캔 이름.
compat_realm1으로 설정하면 도메인의 SAM 호환 이름 (NetBios 이름이라고도 함)이에 사용됩니다Include_Realm옵션. 이것은 기본값입니다. 0으로 설정하면 Kerberos 사용자 원칙 이름의 실제 영역 이름이 사용됩니다.
서버가 도메인 계정에서 실행되지 않는 한이 옵션을 비활성화하지 마십시오 (여기 도메인 멤버 시스템의 가상 서비스 계정 포함) 및 SSPI를 통해 인증하는 모든 클라이언트도 도메인 계정을 사용하거나 인증이 실패합니다..
upn_username이 옵션이 활성화 된 경우compat_realm, Kerberos UPN의 토토 캔 이름은 인증에 사용됩니다. 비활성화 된 경우 (기본값) SAM 호환 토토 캔 이름이 사용됩니다. 기본적 으로이 두 이름은 새로운 사용자 계정과 동일합니다.
참고libpq명시적인 토토 캔 이름이 지정되지 않은 경우 Sam 호환 이름을 사용합니다. 사용하는 경우libpq또는이를 기반으로 한 드라이버는이 옵션을 비활성화하거나 연결 문자열에 토토 캔 이름을 명시 적으로 지정해야합니다..
map시스템과 데이터베이스 토토 캔 이름간에 매핑 할 수 있습니다. 보다PostgreSQL : 문서 : 17 : 20.2. 토토 이름지도자세한 내용. SSPI/Kerberos 교장의 경우username@example.com(또는 덜 일반적으로username/hostbased@example.com), 매핑에 사용되는 토토 캔 이름은입니다.username@example.com(또는username/hostbased@example.com, 각각),Include_Realm0으로 설정되었으며,이 경우토토 캔 이름(또는토토 캔 이름/호스트 기반)는 매핑 할 때 시스템 토토 캔 이름으로 간주됩니다.
KRB_REALM사용자 원금 이름과 일치하도록 영역을 설정합니다. 이 매개 변수가 설정되면 해당 영역의 사용자 만 허용됩니다. 설정되지 않은 경우 토토 캔 이름 매핑이 수행 된 경우 모든 영역의 사용자가 연결할 수 있습니다.
올바르지 않은 문서에 아무것도 표시되면 일치하지 않습니다. 특정 기능에 대한 귀하의 경험 또는 추가 설명이 필요합니다. 사용이 양식문서 문제를보고하려면