| kèo bóng đá cúp c2 9.2.24 Tài liệu | ||||
|---|---|---|---|---|
| prev | UP | Chương 19. | NEXT | |
Các tiểu mục sau đây mô tả các phương thức xác kèo bóng đá cúp c2
KhiTrustXác kèo bóng đá cúp c2 làkèo bóng đá cúp c2Giả sửCơ sở dữ liệuvàuserCột vẫn áp dụng. Phương pháp này nên
TrustXác kèo bóng đá cúp c2 là phù hợpkhôngThích thích trênTrustNgay cả trên máy đa năng, nếu bạnunix_socket_permissions(và có thểunix_socket_group) Tham số cấu hình ASPhần. Hoặc bạn có thể đặtunix_socket_directoryTham số cấu hình đến
Cài đặt quyền hệ thống tệp chỉ giúp cho ổ cắm unixMáy chủ ... 127.0.0.1 ...dòng từpg_hba.confhoặc thay đổi nó thành mộtTrustPhương pháp xác kèo bóng đá cúp c2.
TrustXác kèo bóng đá cúp c2 chỉ làpg_hba.confCác dòng chỉ địnhTrust. Thật hiếm khi hợp lý khi sử dụngTrustĐối với bất kỳ kết nối TCP/IP nào khácLocalhost(127.0.0.1).
Các phương thức xác kèo bóng đá cúp c2 dựa trên mật khẩu làMD5vàMật khẩu. Những cái này
Nếu bạn hoàn toàn quan tâm đến mật khẩu"Sniffing"tấn công sau đóMD5được ưa thích. Đơn giảnMật khẩunên luôn luôn tránh được nếu có thể.MD5Không thể được sử dụng vớidb_user_namespaceTính năng. Nếu kết nối được bảo vệ bởi mã hóa SSL thìMật khẩucó thể được sử dụng một cách an toàn (mặc dù
kèo bóng đá cúp c2Cơ sở dữ liệupg_authidDanh mục hệ thống. Mật khẩu có thể đượcTạo người dùngvàVai trò thay đổi, ví dụ:Tạo người dùng foo với mật khẩu 'bí mật'. Nếu không
GSSAPIlà mộtkèo bóng đá cúp c2Hỗ trợGSSAPIvớiKerberosXác kèo bóng đá cúp c2 theo RFCGSSAPIcung cấpSSLđược sử dụng.
KhiGSSAPIsử dụngKerberos, nó sử dụng một tiêu chuẩnServiceName/tên máy chủ@Realm. Để biết thông tin vềPhần.
Hỗ trợ GSSAPI phải được bật khikèo bóng đá cúp c2được xây dựng; nhìn thấyChương 15Để biết thêm thông tin.
Các tùy chọn cấu hình sau được hỗ trợ choGSSAPI:
Nếu được đặt thành 1, tên vương quốc từ bản xác kèo bóng đá cúp c2Phần 19.2). Đây làkèo bóng đá cúp c2. Người dùng có thể
Cho phép ánh xạ giữa người dùng hệ thống và cơ sở dữ liệuPhầnĐể biết chi tiết. Cho một hiệu trưởng GSSAPI/Kerberos,username@example.com(hoặc, ít thông thường,17902_17934), Thetên người dùng(hoặctên người dùng/hostbased, tương ứng), trừ khibao gồm_realmđã được đặt thành 1username@example.com(hoặcusername/hostbasing@example.com) là những gì
Đặt vương quốc để phù hợp với tên chính của người dùng với.
SSPIlà mộtWindowsCông nghệ an toànkèo bóng đá cúp c2Sẽ sử dụng SSPI trongĐàm phánMode, sẽ sử dụngKerberosKhi có thể và tự độngNTLMTrong khácSSPIXác kèo bóng đá cúp c2Windows, hoặc, trên các nền tảng không phải Windows,GSSAPIcó sẵn.
Khi sử dụngKerberosXác kèo bóng đá cúp c2,SSPIhoạt độngGSSAPIkhông; nhìn thấyPhần 19.3.3cho
Các tùy chọn cấu hình sau được hỗ trợ choSSPI:
Nếu được đặt thành 1, tên vương quốc từ được xác kèo bóng đá cúp c2Phần 19.2). Đây làkèo bóng đá cúp c2. Người dùng có thể
Cho phép ánh xạ giữa người dùng hệ thống và cơ sở dữ liệuPhầnĐể biết chi tiết. Cho một hiệu trưởng SSPI/Kerberos, như vậyusername@example.com(hoặc,21249_21281), Thetên người dùng(hoặctên người dùng/hostbased, tương ứng), trừ khibao gồm_realmđã được đặt thành 1username@example.com(hoặc21678_21710) là những gì là
Đặt vương quốc để phù hợp với tên chính của người dùng với.
Lưu ý:Xác kèo bóng đá cúp c2 Kerberos bản địa đã đượcGSSAPIPhương thức xác kèo bóng đá cúp c2 (xemPhần 19.3.3)
Kerberoslà mộtKerberosHệ thống vượt xa hơnKerberosFAQhoặcMIT KerberosCó thể là điểm khởi đầu tốt để khám phá. Một sốKerberosPhân phối tồn tại.KerberosCung cấp xác kèo bóng đá cúp c2 an toàn nhưng không mã hóa các truy vấn hoặcSSL.
kèo bóng đá cúp c2Hỗ trợkèo bóng đá cúp c2được xây dựng; nhìn thấyChương 15Để biết thêm
kèo bóng đá cúp c2hoạt động như aServiceName/tên máy chủ@Realm.
ServiceNamecó thể được đặt trênKRB_SRVNAMETham số cấu hình và ở phía máy khách bằng cách sử dụngkrbsrvnameTham số kết nối. (Nhìn thấyPhần 31.1.) ThePostgresTại thời điểm xây dựng bằng cách sử dụng./configure--with-krb-srvnam =bất cứ điều gì. Trong hầu hết các môi trường, điều nàykèo bóng đá cúp c2Cài đặt trên cùng một máy chủ.Postgres).
tên máy chủlà đầy đủ
Hiệu trưởng khách hàng phải có của họkèo bóng đá cúp c2Tên người dùng cơ sở dữ liệu làpgusername@realm. Ngoài ra, bạn có thể sử dụngkèo bóng đá cúp c2. Nếu bạn có kèo bóng đá cúp c2 tế chéoKRB_REALMTham số hoặc Bậtbao gồm_realmvà sử dụng tên người dùng
Đảm bảo rằng tệp keytab máy chủ của bạn có thể đọc được (vàkèo bóng đá cúp c2Tài khoản máy chủ. (Xem thêmPhần 17.1.) Vị trí củaKRB_SERVER_KEYFILETham số cấu hình. Mặc định là/usr/local/pgsql/etc/krb5.keytab(hoặc bất cứ điều gìsysconfdirTại thời điểm xây dựng).
Tệp keytab được tạo bởi phần mềm Kerberos; nhìn thấy
Kadmin%Ank -Randkey Postgres/Server.my.domain.org Kadmin%KTADD -K KRB5.KEYTAB POSTGRES/server.my.domain.org
Khi kết nối với cơ sở dữ liệu, hãy đảm bảo bạn có véFred,,fred@example.comsẽfred/users.example.com@example.com, Sử dụng người dùngPhần 19.2.
Nếu bạn sử dụngmod_auth_kerbvàmod_perltrên của bạnApacheMáy chủ web, bạn có thể sử dụngvới Amod_perltập lệnh. Điều này cho
Các tùy chọn cấu hình sau được hỗ trợ choKerberos:
Cho phép ánh xạ giữa người dùng hệ thống và cơ sở dữ liệuPhầnĐể biết chi tiết.
Nếu được đặt thành 1, tên vương quốc từ bản xác kèo bóng đá cúp c2Phần 19.2). Đây là
Đặt vương quốc để phù hợp với tên chính của người dùng với.
Đặt tên máy chủ một phần của hiệu trưởng dịch vụ.KRB_SRVNAME,,KRB_SRVNAME/krb_server_hostname@Realm. Nếu không được đặt, mặc định là
Phương pháp xác kèo bóng đá cúp c2 nhận dạng hoạt động bằng cách lấy
Lưu ý:Khi nhận dạng được chỉ định cho một địa phươngPhần 19.3.7) sẽ được
Các tùy chọn cấu hình sau được hỗ trợ choNhận dạng:
Cho phép ánh xạ giữa người dùng hệ thống và cơ sở dữ liệuPhầnĐể biết chi tiết.
The"Giao thức nhận dạng"IS"Người dùng bắt đầuxvà kết nối với cổng của tôiY? ". Từkèo bóng đá cúp c2biết cảxvàYKhi kết nối vật lý được thiết lập, nó có thể thẩm vấn
Hạn chế của quy trình này là nó phụ thuộc vào
|
Giao thức nhận dạng không được dự định là một |
||
| --RFC 1413 | ||
Một số máy chủ nhận dạng có tùy chọn không đạt tiêu chuẩn gây rakhông đượcđược sử dụng khikèo bóng đá cúp c2, kể từkèo bóng đá cúp c2không có cách nào để
Phương pháp xác kèo bóng đá cúp c2 ngang hàng hoạt động bằng cách lấy
Các tùy chọn cấu hình sau được hỗ trợ choPeer:
Cho phép ánh xạ giữa người dùng hệ thống và cơ sở dữ liệuPhầnĐể biết chi tiết.
Xác kèo bóng đá cúp c2 ngang hàng chỉ có sẵn trên các hệ điều hànhgetpeereid ()Hàm, TheSO_PEERCREDổ cắmLinux, Hầu hết các hương vị củaBSDbao gồmMac OS XvàSolaris.
Phương thức xác kèo bóng đá cúp c2 này hoạt động tương tự nhưMật khẩungoại trừ việc nó sử dụng LDAP làm
Xác kèo bóng đá cúp c2 LDAP có thể hoạt động ở hai chế độ. Trong lần đầu tiêntiền tố tên người dùng Hậu tố. Thông thường,tiền tốTham số được sử dụng để chỉ địnhCN =hoặcDOMAIN\Trong mộtHậu tốđược sử dụng để chỉ định phần còn lại
Trong chế độ thứ hai, máy chủ đầu tiên liên kết với LDAPldapbinddnvàldapbindpasswd, và kèo bóng đá cúp c2 hiện tìm kiếmldapbasingnvà sẽ cố gắng làmLdapSearchAttribution. Nếu không có thuộc tính nào làUIDthuộc tính sẽ được
Các tùy chọn cấu hình sau được hỗ trợ cho
Tên hoặc địa chỉ IP của máy chủ LDAP để kết nối.
Số cổng trên máy chủ LDAP để kết nối với. Nếu không có cổng
Đặt thành 1 để tạo kết nối giữa kèo bóng đá cúp c2 và
Chuỗi để chuẩn bị cho tên người dùng khi tạo DN
Chuỗi nối vào tên người dùng khi hình thành DN
Root DN để bắt đầu tìm kiếm người dùng, khi nào
DN của người dùng để liên kết với thư mục để kèo bóng đá cúp c2 hiện
Mật khẩu cho người dùng liên kết với thư mục với
thuộc tính để khớp với tên người dùng trong tìm kiếm
Lưu ý:Vì LDAP thường sử dụng dấu phẩy và không gian để
39616_39698
Phương thức xác kèo bóng đá cúp c2 này hoạt động tương tự nhưMật khẩungoại trừ việc nó sử dụng bán kính làm
Khi sử dụng xác kèo bóng đá cúp c2 RADIUS, thông báo yêu cầu truy cậpchỉ xác kèo bóng đá cúp c2, vàTên người dùng, Mật khẩu(được mã hóa) vàĐịnh danh NAS. Yêu cầu sẽ được mã hóaTruy cậphoặctừ chối truy cập. Có
Các tùy chọn cấu hình sau được hỗ trợ cho
Tên hoặc địa chỉ IP của máy chủ RADIUS để kết nối
Bí mật được chia sẻ được sử dụng khi nói chuyện an toàn với
Lưu ý:vectơ mã hóa được sử dụng sẽ chỉkèo bóng đá cúp c2được xây dựng với sự hỗ trợOpenSSL. TRONG
Số cổng trên máy chủ RADIUS để kết nối. Nếu như1812sẽ được sử dụng.
Chuỗi được sử dụng làmNASTrong các yêu cầu bán kính. Tham số nàykèo bóng đá cúp c2sẽ là
Phương thức xác kèo bóng đá cúp c2 này sử dụng chứng chỉ máy khách SSL đểCN(Tên chung) thuộc tính của chứng chỉCNĐể khác với
Các tùy chọn cấu hình sau được hỗ trợ cho SSL
Cho phép ánh xạ giữa người dùng hệ thống và cơ sở dữ liệuPhầnĐể biết chi tiết.
Phương thức xác kèo bóng đá cúp c2 này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng pam (có thể cắm đượckèo bóng đá cúp c2. PAM chỉ được sử dụng để kèo bóng đá cúp c2 nhận người dùngLinux-PamTrangvàSolarisPam.
Các tùy chọn cấu hình sau được hỗ trợ cho
Tên dịch vụ PAM.
Lưu ý:Nếu PAM được thiết lập để đọc/etc/kèo bóng đá cúp c2, Xác kèo bóng đá cúp c2 sẽ thất bại