GSSAPIlà một giao thức tiêu chuẩn công nghiệp để xác kèo bóng đá euro an toàn được xác định trong RFC 2743.kèo bóng đá euroHỗ trợGSSAPIvớiKerberosXác kèo bóng đá euro theo RFC 1964.GSSAPICung cấp xác kèo bóng đá euro tự động (đăng nhập một lần) cho các hệ thống hỗ trợ nó. Bản thân xác kèo bóng đá euro được bảo mật, nhưng dữ liệu được gửi qua kết nối cơ sở dữ liệu sẽ được gửi không được mã hóa trừ khiSSLđược sử dụng.
Hỗ trợ GSSAPI phải được bật khikèo bóng đá eurođược xây dựng; nhìn thấyChương 16Để biết thêm thông tin.
khiGSSAPIsử dụngKerberos, nó sử dụng một hiệu trưởng tiêu chuẩn ở định dạngServiceName/kèo bóng đá euro máy chủ@RealmkrbsrvnameTham số kết nối. (Xem thêmPhần 34.1.2.) Mặc định cài đặt có thể được thay đổi từ mặc địnhPostgresTại thời điểm xây dựng bằng cách sử dụng./configure--with-krb-srvnam =bất cứ điều gì. Trong hầu hết các môi trường, tham số này không bao giờ cần phải thay đổi.Postgres).
kèo bóng đá euro máy chủlà kèo bóng đá euro máy chủ đủ điều kiện của máy chủ. Vương quốc của Hiệu trưởng dịch vụ là vương quốc ưa thích của máy chủ.
Hiệu trưởng khách hàng có thể được ánh xạ tới khác nhaukèo bóng đá eurokèo bóng đá euro người dùng cơ sở dữ liệu vớipg_ident.conf. Ví dụ,pgusername@realmcó thể được ánh xạ tới chỉpgusername. Ngoài ra, bạn có thể sử dụng đầy đủkèo bóng đá euro người dùng@realmHiệu trưởng là kèo bóng đá euro vai trò trongkèo bóng đá euroKhông có bất kỳ ánh xạ nào.
kèo bóng đá eurocũng hỗ trợ tham số để tước vương quốc khỏi hiệu trưởng. Phương pháp này được hỗ trợ để tương thích ngược và không được khuyến khích mạnh mẽ vì sau đó không thể phân biệt người dùng khác nhau với cùng kèo bóng đá euro người dùng nhưng đến từ các cõi khác nhau.bao gồm_realmđến 0. Đối với các cài đặt đơn lẻ đơn giản, kèo bóng đá euro hiện điều đó kết hợp với cài đặtKRB_REALMTham số (kiểm tra xem vương quốc của hiệu trưởng có phù hợp chính kèo bóng đá euro trongKRB_REALMtham số) vẫn an toàn; Nhưng đây là một cách tiếp cận ít khả năng hơn so với việc chỉ định một ánh xạ rõ ràng trongpg_ident.conf.
Đảm bảo rằng tệp keytab máy chủ của bạn có thể đọc được (và tốt nhất là chỉ có thể đọc được, không thể ghi) bởikèo bóng đá euroTài khoản máy chủ. (Xem thêmPhần 18.1.) Vị trí của tệp khóa được chỉ định bởiKRB_SERVER_KEYFILETham số cấu hình. Mặc định là/usr/local/pgsql/etc/krb5.keytab(hoặc bất kỳ thư mục nào được chỉ định làsysconfdirTại thời điểm xây dựng). Vì lý do bảo mật, nên sử dụng một keytab riêng biệt chỉ chokèo bóng đá euroMáy chủ thay vì mở các quyền trên tệp keytab hệ thống.
Tệp keytab được tạo bởi phần mềm Kerberos; Xem tài liệu Kerberos để biết chi tiết.
Kadmin%Ank -randkey postgres/server.my.domain.orgKadmin%KTADD -K KRB5.KEYTAB POSTGRES/server.my.domain.org
Khi kết nối với cơ sở dữ liệu, hãy đảm bảo bạn có vé cho một hiệu trưởng khớp kèo bóng đá euro người dùng cơ sở dữ liệu được yêu cầu. Ví dụ: cho kèo bóng đá euro người dùng cơ sở dữ liệuFred, Hiệu trưởngfred@example.comsẽ có thể kết nối. Cũng cho phép Hiệu trưởngfred/users.example.com@example.com, Sử dụng bản đồ kèo bóng đá euro người dùng, như được mô tả trongPhần 20.2.
Các tùy chọn cấu hình sau được hỗ trợ choGSSAPI:
bao gồm_realmNếu được đặt thành 0, tên Realm từ hiệu trưởng người dùng được xác kèo bóng đá euro bị loại bỏ trước khi được truyền qua ánh xạ tên người dùng (Phần 20.2). Điều này không được khuyến khích và chủ yếu có sẵn để tương thích ngược, vì nó không an toàn trong môi trường đa kèo bóng đá euro tế trừ khiKRB_REALMcũng được sử dụng. Nó được khuyến nghị để lạibao gồm_realmĐặt thành mặc định (1) và để cung cấp ánh xạ rõ ràng trongpg_ident.confĐể chuyển đổi kèo bóng đá euro chính thànhkèo bóng đá eurokèo bóng đá euro người dùng.
MAPCho phép ánh xạ giữa kèo bóng đá euro người dùng hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 20.2Để biết chi tiết. Đối với hiệu trưởng GSSAPI/Kerberos, chẳng hạn nhưusername@example.com(hoặc, ít phổ biến hơn,14494_14526), kèo bóng đá euro người dùng được sử dụng để ánh xạ làusername@example.com(hoặc14644_14676, tương ứng), trừ khibao gồm_realmđã được đặt thành 0, trong trường hợp đókèo bóng đá euro người dùng(hoặckèo bóng đá euro người dùng/hostbased) là những gì được xem là kèo bóng đá euro người dùng hệ thống khi ánh xạ.
KRB_REALMĐặt vương quốc để phù hợp với kèo bóng đá euro chính của người dùng với. Nếu tham số này được đặt, chỉ người dùng của vương quốc đó sẽ được chấp nhận.