| kèo bóng đá euro 8.2.23 Tài liệu | ||||
|---|---|---|---|---|
| prev | Backward nhanh | Chương 20. kèo bóng đá euro máy khách | Chuyển tiếp nhanh | NEXT |
Các tiểu mục sau đây mô tả các phương thức kèo bóng đá euro chi tiết hơn.
KhiTrustkèo bóng đá euro là được chỉ định,kèo bóng đá euroGiả sử rằng bất kỳ ai có thể kết nối với máy chủ đều được ủy quyền Truy cập cơ sở dữ liệu với bất kỳ tên người dùng cơ sở dữ liệu nào Chỉ định (bao gồm cả siêu nhân). Tất nhiên, những hạn chế được kèo bóng đá euro hiện trong TheCơ sở dữ kèo bóng đá eurovàuserCột vẫn áp dụng. kèo bóng đá euro này nên chỉ được sử dụng khi có cấp độ hệ điều hành đầy đủ Bảo vệ trên các kết nối đến máy chủ.
Trustkèo bóng đá euro là phù hợp và rất thuận tiện cho các kết nối cục bộ trên một người dùng duy nhất máy trạm. Nó thường làkhôngThích hợp trên một Máy nhiều người. Tuy nhiên, bạn có thể sử dụngTrustNgay cả trên máy nhiều người, nếu bạn Hạn chế quyền truy cập vào tệp ổ cắm miền đơn vị của máy chủ bằng cách sử dụng Quyền hệ thống tập tin. Để làm điều này, đặtunix_socket_permissions(và có thểunix_socket_group) Tham số cấu hình AS được mô tả trongPostgreSQL: Tài. Hoặc bạn có thể đặtunix_socket_directoryTham số cấu hình đến Đặt tệp ổ cắm vào thư mục bị hạn chế phù hợp.
Cài đặt quyền hệ thống tệp chỉ giúp cho ổ cắm unix kết nối. Các kết nối TCP/IP cục bộ không bị hạn chế bởi nó; Do đó, nếu bạn muốn sử dụng quyền hệ thống tệp cho địa kèo bóng đá euro Bảo mật, XóaMáy chủ ... 127.0.0.1 ...dòng từpg_hba.conf, hoặc Thay đổi nó thành khôngTrustPhương pháp kèo bóng đá euro.
Trustkèo bóng đá euro chỉ là Thích hợp cho các kết nối TCP/IP nếu bạn tin tưởng mọi người dùng Mọi máy được phép kết nối với máy chủ bởipg_hba.confCác dòng chỉ địnhTrust. Thật hiếm khi hợp lý khi sử dụngTrustĐối với bất kỳ kết nối TCP/IP nào khác hơn những người từLocalhost(127.0.0.1).
Các phương thức kèo bóng đá euro dựa trên mật khẩu làMD5, CryptvàMật khẩu. Các kèo bóng đá euro này hoạt động Tương tự ngoại trừ cách mà mật khẩu được gửi qua kết nối: tương ứng, md5 bị hỏng, được mã hóa mật mã và rõ ràng-văn bản. Một giới hạn làCryptkèo bóng đá euro không hoạt động với mật khẩu mà đã được mã hóa trongpg_authid.
Nếu bạn hoàn toàn quan tâm đến mật khẩu"Sniffing"tấn công sau đóMD5được ưa thích, vớiCryptChỉ được sử dụng nếu bạn phải hỗ trợ khách hàng trước 7.2. Đơn giảnMật khẩunên được tránh đặc biệt cho các kết nối qua Internet mở (Trừ khi bạn sử dụngSSL, SSHhoặc khác Trình bao bọc bảo mật truyền thông xung quanh kết nối).
kèo bóng đá euroCơ sở dữ kèo bóng đá euro Mật khẩu tách biệt với mật khẩu người dùng hệ điều hành. Mật khẩu cho mỗi người dùng cơ sở dữ kèo bóng đá euro được lưu trữ trongpg_authidDanh mục hệ thống. Mật khẩu có thể được được quản lý với các lệnh SQLTạo người dùngvàngười dùng thay đổi, ví dụ:Tạo người dùng foo với mật khẩu 'bí mật';. Qua Mặc định, nghĩa là nếu không có mật khẩu nào được thiết lập, được lưu trữ Mật khẩu là NULL và kèo bóng đá euro mật khẩu sẽ luôn thất bại cho người dùng đó.
Kerberoslà một Hệ thống kèo bóng đá euro an toàn tiêu chuẩn công nghiệp phù hợp cho Phân phối điện toán qua một mạng công cộng. Một mô tả của TheKerberosHệ thống là xa Ngoài phạm vi của tài kèo bóng đá euro này; tính tổng quát nó có thể Khá phức tạp (nhưng mạnh mẽ). TheKerberosFAQhoặcMIT Kerberos trangCó thể là điểm khởi đầu tốt để thăm dò. Một số Nguồn choKerberosPhân phối tồn tại.KerberosCung cấp kèo bóng đá euro an toàn nhưng không mã hóa các truy vấn hoặc Dữ liệu được truyền qua mạng; cho việc sử dụng đóSSL.
kèo bóng đá euroHỗ trợ Kerberos phiên bản 5. Hỗ trợ Kerberos phải được bật khikèo bóng đá eurođược xây dựng; nhìn thấyChương 14Để biết thêm thông tin.
kèo bóng đá eurohoạt động như a Dịch vụ Kerberos bình thường. Tên của hiệu trưởng dịch vụ làServiceName/tên máy chủ@Realm.
ServiceNamecó thể được đặt trên phía máy chủ sử dụngKRB_SRVNAMETham số cấu hình và ở phía máy khách bằng cách sử dụngkrbsrvnameTham số kết nối. (Nhìn thấy Mà cònPhần 29.1.) The Cài đặt mặc định có thể được thay đổi từ mặc địnhPostgresTại thời điểm xây dựng bằng cách sử dụng./configure--with-krb-srvnam = bất cứ điều gì. Trong hầu hết môi trường, tham số này không bao giờ cần phải thay đổi. Tuy nhiên, để hỗ trợ nhiềukèo bóng đá euroCài đặt trên cùng một máy chủ Nó là cần thiết. Một số triển khai Kerberos cũng có thể yêu cầu Một tên dịch vụ khác, chẳng hạn như Microsoft Active Directory yêu cầu tên dịch vụ phải ở chữ hoa (Postgres).
tên máy chủlà đầy đủ Tên máy chủ đủ điều kiện của máy chủ. Dịch vụ Cõi của hiệu trưởng là vương quốc ưa thích của máy chủ máy móc.
Hiệu trưởng khách hàng phải có của họkèo bóng đá euroTên người dùng cơ sở dữ kèo bóng đá euro là thành phần đầu tiên, ví dụpgusername/otherstuff@realm. Hiện tại vương quốc của máy khách không được kiểm tra bởikèo bóng đá euro; Vì vậy, nếu bạn có thực tế chéo kèo bóng đá euro được bật, sau đó bất kỳ hiệu trưởng nào trong bất kỳ vương quốc nào có thể giao tiếp với bạn sẽ được chấp nhận.
Đảm bảo rằng tệp keytab máy chủ của bạn có thể đọc được (và tốt nhất là chỉ có thể đọc được) bởikèo bóng đá euroTài khoản máy chủ. (Xem thêmPhần 16.1.) Vị trí của Tệp khóa được chỉ định bởikrb_server_keyfileTham số cấu hình. Mặc định là/usr/local/pgsql/etc/krb5.keytab(hoặc tùy theo thư mục được chỉ định làsysconfdirTại thời điểm xây dựng).
Tệp keytab được tạo bởi phần mềm Kerberos; nhìn thấy Tài kèo bóng đá euro Kerberos để biết chi tiết. Ví dụ sau đây dành cho triển khai Kerberos 5 tương thích MIT:
Kadmin%Ank -Randkey Postgres/Server.my.domain.org Kadmin%KTADD -K KRB5.KEYTAB POSTGRES/server.my.domain.org
Khi kết nối với cơ sở dữ kèo bóng đá euro, hãy đảm bảo bạn có vé Đối với một lượng chính khớp với tên người dùng cơ sở dữ kèo bóng đá euro được yêu cầu. Vì Ví dụ, cho tên người dùng cơ sở dữ kèo bóng đá euroFred,, Cả hai hiệu trưởngfred@example.comvàfred/users.example.com@example.comcó thể được sử dụng để kèo bóng đá euro vào máy chủ cơ sở dữ liệu.
Nếu bạn sử dụngmod_auth_kerbvàmod_perltrên của bạnApacheMáy chủ web, bạn có thể sử dụngvới Amod_perltập lệnh. Điều này cho Truy cập cơ sở dữ kèo bóng đá euro an toàn trên web, không có thêm mật khẩu yêu cầu.
Phương pháp kèo bóng đá euro nhận dạng hoạt động bằng cách lấy Tên người dùng hệ điều hành của khách hàng, sau đó xác định Tên người dùng cơ sở dữ liệu được phép bằng cách sử dụng tệp bản đồ liệt kê cho phép các cặp tên tương ứng. Sự quyết định của Tên người dùng của khách hàng là điểm quan trọng về bảo mật và nó hoạt động khác nhau tùy thuộc vào loại kết nối.
The"Giao thức nhận dạng"được mô tả trongRFC 1413. Hầu như Mọi hệ điều hành giống như UNIX đều có một máy chủ nhận dạng theo mặc định lắng nghe trên cổng TCP 113. Cơ bản Chức năng của máy chủ nhận dạng là trả lời các câu hỏi như"Người dùng nào đã bắt đầu kết nối mà đi ra khỏi cổng của bạnxvà kết nối với cổng của tôiy? ". Từkèo bóng đá eurobiết cảxvàYKhi kết nối vật lý được thiết lập, nó có thể thẩm vấn máy chủ nhận dạng trên máy chủ của máy khách kết nối và về mặt lý thuyết có thể kèo bóng đá euro định người dùng hệ điều hành cho mọi kết nối đã cho theo cách này.
Hạn chế của thủ tục này là nó phụ thuộc vào Tính toàn vẹn của máy khách: Nếu máy khách không tin tưởng hoặc làm tổn hại kẻ tấn công có thể chạy về bất kỳ chương trình nào Trên cổng 113 và trả về bất kỳ tên người dùng nào anh ta chọn. Cái này Do đó, phương thức kèo bóng đá euro chỉ phù hợp với Các mạng đóng nơi mỗi máy khách bị chặt Kiểm soát và nơi quản trị viên cơ sở dữ liệu và hệ thống hoạt động trong liên hệ chặt chẽ. Nói cách khác, bạn phải tin tưởng Máy chạy máy chủ nhận dạng. Chú ý cảnh báo:
|
Giao thức nhận dạng không được dự định là một Giao thức điều khiển ủy quyền hoặc truy cập. |
||
| --RFC 1413 | ||
Một số máy chủ nhận dạng có tùy chọn không đạt tiêu chuẩn Tên người dùng được trả về sẽ được mã hóa, chỉ sử dụng khóa mà chỉ Quản trị viên của máy khởi tạo biết. Tùy chọn nàykhông đượcđược sử dụng Khi sử dụng máy chủ nhận dạng vớikèo bóng đá euro, kể từkèo bóng đá eurokhông có cách nào để Giải mã chuỗi được trả về để kèo bóng đá euro định người dùng thực tế tên.
Trên các hệ thống hỗ trợSO_PEERCREDYêu cầu cho các ổ cắm tên miền Unix (hiệnLinux, FreeBSD, NetBSD, OpenBSDvàBSD/OS), kèo bóng đá euro cũng có thể là áp dụng cho các kết nối cục bộ. Trong trường hợp này, không có rủi ro bảo mật được thêm vào bằng cách sử dụng kèo bóng đá euro nhận dạng; Quả thực nó là một Lựa chọn tốt hơn cho các kết nối cục bộ trên các hệ thống như vậy.
Trên các hệ thống không cóSO_PEERCREDYêu cầu, kèo bóng đá euro chỉ có sẵn cho TCP/IP kết nối. Là một công việc xung quanh, có thể chỉ địnhlocalhostĐịa chỉ127.0.0.1và kèo bóng đá euro hiện kết nối đến địa chỉ này. Phương pháp này đáng tin cậy để mức độ mà bạn tin tưởng máy chủ nhận dạng cục bộ.
Khi sử dụng kèo bóng đá euro dựa trên nhận dạng, sau khi có xác định tên của người dùng hệ điều hành bắt đầu kết nối,kèo bóng đá euroKiểm tra xem người dùng đó có phải không được phép kết nối với tư cách là người dùng cơ sở dữ kèo bóng đá euro mà anh ấy đang yêu cầu kết nối như. Điều này được kiểm soát bởi đối số bản đồ nhận dạng rằng theo sauNhận dạngTừ khóa trongpg_hba.confTệp. Có a Bản đồ nhận dạng được kèo bóng đá euro định trướcSoriluSer, mà Cho phép bất kỳ người dùng hệ điều hành nào kết nối như cơ sở dữ kèo bóng đá euro người dùng cùng tên (nếu cái sau tồn tại). Bản đồ khác phải được tạo thủ công.
Nhận dạng bản đồ khácSakeUserđược kèo bóng đá euro định trong tệp bản đồ nhận dạng, theo mặc định được đặt tênpg_ident.confvà được lưu trữ trong dữ kèo bóng đá euro của cụm Thư mục. (Có thể đặt tệp bản đồ ở nơi khác, Tuy nhiên; XemIndent_FileTham số cấu hình.) Tệp bản đồ nhận dạng chứa các dòng của hình thức chung:
tên bản đồ Ident-username Cơ sở dữ kèo bóng đá euro-username
Nhận xét và khoảng trắng được xử lý theo cách tương tự như trongpg_hba.conf. Thetên bản đồlà một tên tùy ý sẽ được sử dụng để tham khảo ánh xạ này trongpg_hba.conf. Hai lĩnh vực khác chỉ định Người dùng hệ điều hành nào được phép kết nối Người dùng cơ sở dữ kèo bóng đá euro. Giống nhautên bản đồcó thể được sử dụng nhiều lần để Chỉ định nhiều bản đồ người dùng hơn trong một bản đồ. Không có hạn chế về số lượng người dùng cơ sở dữ kèo bóng đá euro đã cho Người dùng hệ điều hành có thể tương ứng với, cũng không ngược lại.
Thepg_ident.confTệp được đọc Khi khởi động và khi quá trình máy chủ chính nhận đượcSIGHUPTín hiệu. Nếu bạn chỉnh sửa tệp trên một hoạt động hệ thống, bạn sẽ cần phải báo hiệu máy chủ (sử dụngPG_CTL tải lạihoặcGiết -Hup) để làm cho nó đọc lại tệp.
Apg_ident.confTệp có thể được sử dụng cùng vớipg_hba.confTệp trongVí dụ 20-1được hiển thị trongVí dụ 20-2. Trong thiết lập ví dụ này, bất kỳ ai cũng đăng nhập vào một máy Mạng 192.168 không có tên người dùng UnixBryanh, ANNhoặcRobertSẽ không được cấp quyền truy cập. Unix userRobertsẽ chỉ được phép truy cập khi anh ấy cố gắng kết nối nhưkèo bóng đá eurouserBob, không phảiRoberthoặc bất kỳ ai khác.Annsẽ chỉ được phép kết nối dưới dạngANN. Người dùngBryanhsẽ được phép kết nối Như một trong haiBryanhbản thân anh ta hoặcGuest1.
Phương thức kèo bóng đá euro này hoạt động tương tự nhưMật khẩungoại trừ việc nó sử dụng LDAP làm Phương pháp kèo bóng đá euro. LDAP chỉ được sử dụng để xác nhận người dùng tên/cặp mật khẩu. Do đó người dùng phải tồn tại trong Cơ sở dữ liệu trước LDAP có thể được sử dụng để kèo bóng đá euro. Các Máy chủ và tham số được sử dụng được chỉ định sauLDAPTừ khóa trong tệppg_hba.conf. Định dạng của tham số này là:
LDAP [S]: //servername[:Cổng]/cơ sở DN[;tiền tố[;Hậu tố]]
dấu phẩy được sử dụng để chỉ định nhiều mục trong mộtLDAPThành phần. Tuy nhiên, bởi vì dấu phẩy chưa được trích dẫn được coi là dấu phân cách vật phẩm trongpg_hba.conf, thật khôn ngoan khi xử lý gấp đôiLDAPURL để bảo tồn bất kỳ dấu phẩy nào Hiện tại, ví dụ:
"LDAP: //ldap.example.net/dc=example,dc=net; ví dụ \"
nếuLDAPSđược chỉ định thay vìLDAP, mã hóa TLS sẽ được bật cho kết nối. Lưu ý rằng điều này sẽ chỉ mã hóa Kết nối giữa máy chủ kèo bóng đá euro và máy chủ LDAP. Kết nối giữa máy khách và máy chủ kèo bóng đá euro là không bị ảnh hưởng bởi cài đặt này. Để sử dụng mã hóa TLS, Bạn có thể cần định cấu hình thư viện LDAP trước khi định cấu hình kèo bóng đá euro. Lưu ý rằng LDAP được mã hóa chỉ khả dụng nếu Thư viện LDAP của nền tảng hỗ trợ nó.
Nếu không có cổng nào được chỉ định, cổng mặc định được cấu hình trong Thư viện LDAP sẽ được sử dụng.
Máy chủ sẽ liên kết với tên phân biệt được chỉ định làBase DNSử dụng tên người dùng được cung cấp bởi khách hàng. Nếu nhưtiền tốvàHậu tốđược chỉ định, nó sẽ được chuẩn bị và được thêm vào tên người dùng trước khi ràng buộc. Thông thường, tham số tiền tố được sử dụng để chỉ địnhCN =hoặcDOMAIN \Trong một thư mục hoạt động môi trường.
Phương thức kèo bóng đá euro này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng pam (có thể cắm được Mô -đun kèo bóng đá euro) là cơ chế kèo bóng đá euro. Các Tên dịch vụ PAM mặc định làkèo bóng đá euro. Bạn có thể tùy chọn cung cấp của riêng bạn Tên dịch vụ sauPAMTừ khóa trong Tệppg_hba.conf. Pam được sử dụng Chỉ để xác nhận các cặp tên người dùng/mật khẩu. Do đó người dùng phải tồn tại trong cơ sở dữ liệu trước khi PAM có thể được sử dụng cho kèo bóng đá euro. Để biết thêm thông tin về PAM, vui lòng đọcLinux-Pamtrangvà TheSolarisPam Trang.