| PostgreSQL 9.3.25 Tài liệu | ||||
|---|---|---|---|---|
| Prev | UP | Chương 19. Khách hàng Xác kèo bóng đá euro | NEXT | |
Các tiểu mục sau đây mô tả các phương thức xác kèo bóng đá euro trong chi tiết hơn.
KhiTrustXác kèo bóng đá euro được chỉ định,PostgreSQLGiả sử rằng bất cứ ai có thể kết nối với máy chủ được ủy quyền để truy cập cơ sở dữ liệu với Bất cứ tên người dùng cơ sở dữ liệu nào họ chỉ định (thậm chí tên siêu nhân). Của khóa học, các hạn chế được kèo bóng đá euro hiện trongCơ sở dữ liệuvàuserCột vẫn áp dụng. kèo bóng đá euro pháp này chỉ nên được sử dụng khi có cấp độ hệ điều hành đầy đủ Bảo vệ trên các kết nối đến máy chủ.
TrustXác kèo bóng đá euro là phù hợp và Rất thuận tiện cho các kết nối cục bộ trên một máy trạm một người dùng. Nó thường làkhôngThích hợp trên máy nhiều kèo bóng đá euro. Tuy nhiên, bạn có thể có thể sử dụngTrustNgay cả trên Multiuser máy, nếu bạn hạn chế quyền truy cập vào ổ cắm miền đơn vị của máy chủ Tệp sử dụng quyền hệ thống tệp. Để làm điều này, đặtunix_socket_permissions(và có thểunix_socket_group) Tham số cấu hình AS được mô tả trongPhần 18.3. Hoặc bạn có thể đặtunix_socket_directoriesTham số cấu hình đến Đặt tệp ổ cắm vào thư mục bị hạn chế phù hợp.
Thiết lập quyền hệ thống tệp chỉ giúp cho ổ cắm unix kết nối. Các kết nối TCP/IP cục bộ không bị hạn chế bởi Quyền hệ thống tập tin. Do đó, nếu bạn muốn sử dụng hệ thống tệp quyền cho bảo mật cục bộ, hãy xóaMáy chủ ... 127.0.0.1 ...dòng từpg_hba.confhoặc thay đổi nó thành khôngTrustPhương pháp xác kèo bóng đá euro.
TrustXác kèo bóng đá euro chỉ phù hợp Đối với kết nối TCP/IP nếu bạn tin tưởng mọi người dùng trên mỗi máy được phép kết nối với máy chủ bởipg_hba.confCác dòng chỉ địnhTrust. Thật hiếm khi hợp lý khi sử dụngTrustĐối với bất kỳ kết nối TCP/IP nào khác ngoài các kết nối từLocalhost(127.0.0.1).
Các phương thức xác kèo bóng đá euro dựa trên mật khẩu làMD5vàMật khẩu. Những cái này các kèo bóng đá euro thức hoạt động tương tự ngoại trừ cách mật khẩu được gửi qua kết nối, cụ thể là MD5 bị cắt và văn bản rõ ràng tương ứng.
Nếu bạn hoàn toàn quan tâm đến mật khẩu"Sniffing"tấn công sau đóMD5được ưa thích. Đơn giảnMật khẩunên luôn luôn được tránh nếu có thể. Tuy nhiên,MD5Không thể được sử dụng vớidb_user_namespaceTính năng. Nếu kết nối được bảo vệ bởi mã hóa SSL thìMật khẩucó thể được sử dụng một cách an toàn (mặc dù SSL Xác kèo bóng đá euro chứng chỉ có thể là lựa chọn tốt hơn nếu một Tùy thuộc vào việc sử dụng SSL).
PostgreSQLMật khẩu cơ sở dữ liệu tách biệt với mật khẩu kèo bóng đá euro hệ điều hành. Mật khẩu cho Mỗi kèo bóng đá euro cơ sở dữ liệu được lưu trữ trongpg_authidDanh mục hệ thống. Mật khẩu có thể được quản lý với các lệnh SQLPostgreSQL: Tài liệu:vàPostgreSQL: Tài liệu:, ví dụ:Tạo kèo bóng đá euro foo với mật khẩu 'bí mật'. Nếu không Mật khẩu đã được thiết lập cho người dùng, mật khẩu được lưu trữ là null và xác kèo bóng đá euro mật khẩu sẽ luôn thất bại cho người dùng đó.
GSSAPIlà một tiêu chuẩn công nghiệp Giao thức xác kèo bóng đá euro an toàn được xác định trong RFC 2743.PostgreSQLHỗ trợGSSAPIvớiKerberosXác kèo bóng đá euro theo RFC 1964.GSSAPICung cấp tự động Xác kèo bóng đá euro (đăng nhập một lần) cho các hệ thống hỗ trợ nó. Các Xác kèo bóng đá euro tự bảo mật, nhưng dữ liệu được gửi qua Kết nối cơ sở dữ liệu sẽ được gửi không được mã hóa trừ khiSSLđược sử dụng.
KhiGSSAPIsử dụngKerberos, nó sử dụng một hiệu trưởng tiêu chuẩn trong định dạngServiceName/tên máy chủ@Realm. Để biết thông tin về các bộ phận của hiệu trưởng và cách thiết lập các khóa cần thiết, xemPhần 19.3.5.
Hỗ trợ GSSAPI phải được bật khiPostgreSQLđược xây dựng; nhìn thấyChương 15Để biết thêm thông tin.
Các tùy chọn cấu hình sau được hỗ trợ choGSSAPI:
Nếu được đặt thành 1, tên Realm từ người dùng được xác kèo bóng đá euro Hiệu trưởng được bao gồm trong tên người dùng hệ thống được truyền qua Ánh xạ tên người dùng (Phần 19.2). Đây là cấu hình được đề xuất vì nếu không, nó không thể phân biệt kèo bóng đá euro với cùng một tên kèo bóng đá euro từ các cõi khác nhau. Mặc định cho tham số này là 0 (có nghĩa là không bao gồm vương quốc trong tên kèo bóng đá euro hệ thống) nhưng có thể thay đổi thành 1 trong một phiên bản tương lai củaPostgreSQL. kèo bóng đá euro có thể đặt nó một cách rõ ràng thành Tránh mọi vấn đề khi nâng cấp.
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết. Vì Hiệu trưởng GSSAPI/Kerberos, chẳng hạn nhưusername@example.com(hoặc, ít phổ biến hơn,17158_17190), kèo bóng đá euro mặc định Tên được sử dụng để ánh xạ làtên kèo bóng đá euro(hoặctên kèo bóng đá euro/hostbased, tương ứng), trừ khibao gồm_realmđã được đặt thành 1 (như được đề xuất, xem ở trên), trong trường hợp đóusername@example.com(hoặc17515_17547) là những gì được xem là Tên kèo bóng đá euro hệ thống khi ánh xạ.
Đặt vương quốc để phù hợp với tên chính của kèo bóng đá euro với. Nếu điều này Tham số được đặt, chỉ kèo bóng đá euro của vương quốc đó sẽ được chấp nhận. Nếu nó không được đặt, kèo bóng đá euro của bất kỳ vương quốc nào cũng có thể kết nối, tùy thuộc vào bất cứ điều gì ánh xạ tên kèo bóng đá euro đã hoàn thành.
SSPIlà mộtWindowsCông nghệ xác kèo bóng đá euro an toàn Với một đăng nhập đơn.PostgreSQLSẽ sử dụng SSPI trongĐàm phánChế độ, trong đó sẽ sử dụngKerberosKhi có thể và tự động quay trở lạiNTLMTrong các trường hợp khác.SSPIXác kèo bóng đá euro chỉ hoạt động khi cả hai máy chủ và máy khách đang chạyWindows, hoặc, trên các nền tảng không phải Windows, khiGSSAPIcó sẵn.
Khi sử dụngKerberosXác kèo bóng đá euro,SSPIhoạt động cùng một cáchGSSAPIkhông; nhìn thấyPhần 19.3.3để biết chi tiết.
Các tùy chọn cấu hình sau được hỗ trợ choSSPI:
Nếu được đặt thành 1, tên vương quốc từ người dùng được xác kèo bóng đá euro Hiệu trưởng được bao gồm trong tên người dùng hệ thống được truyền qua Ánh xạ tên người dùng (Phần 19.2). Đây là cấu hình được đề xuất vì nếu không, nó không thể phân biệt kèo bóng đá euro với cùng một tên kèo bóng đá euro từ các cõi khác nhau. Mặc định cho tham số này là 0 (có nghĩa là không bao gồm vương quốc trong tên kèo bóng đá euro hệ thống) nhưng có thể thay đổi thành 1 trong một phiên bản tương lai củaPostgreSQL. kèo bóng đá euro có thể đặt nó một cách rõ ràng thành Tránh mọi vấn đề khi nâng cấp.
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết. Vì Hiệu trưởng SSPI/Kerberos, chẳng hạn nhưusername@example.com(hoặc, ít thông thường,username/hostbasing@example.com), kèo bóng đá euro mặc định Tên được sử dụng để ánh xạ làTên kèo bóng đá euro(hoặctên kèo bóng đá euro/hostbased, tương ứng), trừ khibao gồm_realmđã được đặt thành 1 (như được đề xuất, xem ở trên), trong trường hợp đóusername@example.com(hoặcusername/hostbasing@example.com) là những gì được xem là Tên kèo bóng đá euro hệ thống khi ánh xạ.
Đặt vương quốc để phù hợp với tên chính của kèo bóng đá euro với. Nếu điều này Tham số được đặt, chỉ kèo bóng đá euro của vương quốc đó sẽ được chấp nhận. Nếu nó không được đặt, kèo bóng đá euro của bất kỳ vương quốc nào cũng có thể kết nối, tùy thuộc vào bất cứ điều gì ánh xạ tên kèo bóng đá euro đã hoàn thành.
Lưu ý:Xác kèo bóng đá euro Kerberos bản địa đã không được chấp nhận và chỉ nên được sử dụng để tương thích ngược. Mới và Cài đặt được nâng cấp được khuyến khích sử dụng tiêu chuẩn ngànhGSSAPIPhương thức xác kèo bóng đá euro (xemPhần 19.3.3) thay vì.
Kerberoslà một Hệ thống xác kèo bóng đá euro an toàn tiêu chuẩn công nghiệp phù hợp cho Phân phối điện toán qua một mạng công cộng. Một mô tả vềKerberoshệ thống vượt ra ngoài Phạm vi của tài liệu này; trong toàn bộ tính tổng quát, nó có thể khá phức tạp (nhưng mạnh mẽ). TheKerberosFAQhoặcMIT Trang KerberosCó thể là điểm khởi đầu tốt để khám phá. Một số nguồn choKerberosPhân phối tồn tại.KerberosCung cấp xác kèo bóng đá euro an toàn nhưng không mã hóa các truy vấn hoặc dữ liệu vượt qua mạng; cho việc sử dụng đóSSL.
PostgreSQLHỗ trợ Kerberos Phiên bản 5. Hỗ trợ Kerberos phải được bật khiPostgreSQLis built; nhìn thấyChương 15Để biết thêm thông tin.
PostgreSQLhoạt động như a Dịch vụ Kerberos bình thường. Tên của hiệu trưởng dịch vụ làServiceName/tên máy chủ@Realm.
ServiceNamecó thể được đặt trên phía máy chủ sử dụngKRB_SRVNAMEtham số cấu hình và ở phía máy khách bằng cách sử dụngkrbsrvnameTham số kết nối. (Xem thêmPhần 31.1.2.) Mặc định cài đặt có thể được thay đổi từ mặc địnhPostgresTại thời điểm xây dựng bằng cách sử dụng./configure--with-krb-srvnam =bất cứ điều gì. Trong hầu hết các môi trường, điều này tham số không bao giờ cần phải được thay đổi. Tuy nhiên, nó là cần thiết khi hỗ trợ nhiềuPostgreSQLCài đặt trên cùng một máy chủ. Một số triển khai Kerberos có thể Cũng yêu cầu một tên dịch vụ khác, chẳng hạn như Microsoft Active Thư mục yêu cầu tên dịch vụ phải ở trong trường hợp cao hơn (Postgres).
tên máy chủlà đủ điều kiện Tên máy chủ của máy chủ. Vương quốc của hiệu trưởng dịch vụ là vương quốc ưa thích của máy chủ.
Hiệu trưởng khách hàng phải có của họPostgreSQLTên kèo bóng đá euro cơ sở dữ liệu là lần đầu tiên của họ Ví dụ, thành phầnpgusername@realm. Ngoài ra, bạn có thể sử dụng ánh xạ tên kèo bóng đá euro để lập bản đồ từ Thành phần đầu tiên của tên chính cho tên kèo bóng đá euro cơ sở dữ liệu. Qua Mặc định, vương quốc của máy khách không được kiểm tra bởiPostgreSQL. Nếu bạn có kèo bóng đá euro tế chéo Xác kèo bóng đá euro được bật và cần xác minh vương quốc, sử dụngKRB_REALMTham số hoặc Bậtbao gồm_realmvà sử dụng ánh xạ tên kèo bóng đá euro để kiểm tra vương quốc.
Đảm bảo rằng tệp keytab máy chủ của bạn có thể đọc được (và tốt nhất là chỉ có thể đọc được) bởiPostgreSQLTài khoản máy chủ. (Xem thêmPhần 17.1.) Vị trí của khóa Tệp được chỉ định bởikrb_server_keyfileTham số cấu hình. Mặc định là/usr/local/pgsql/etc/krb5.keytab(hoặc bất cứ điều gì thư mục được chỉ định làsysconfdirAT thời gian xây dựng).
Tệp keytab được tạo bởi phần mềm Kerberos; Xem Tài liệu Kerberos để biết chi tiết. Ví dụ sau đây là cho Triển khai Kerberos 5 tương thích MIT:
Kadmin%Ank -RandKey Postgres/Server.my.domain.org Kadmin%KTADD -K KRB5.KEYTAB POSTGRES/server.my.domain.org
Khi kết nối với cơ sở dữ liệu, hãy đảm bảo bạn có một vé cho Một hiệu trưởng phù hợp với tên kèo bóng đá euro cơ sở dữ liệu được yêu cầu. Ví dụ, cho tên kèo bóng đá euro cơ sở dữ liệuFred, Hiệu trưởngfred@example.comsẽ có thể kết nối. Cũng cho phép Hiệu trưởngfred/users.example.com@example.com, Sử dụng tên kèo bóng đá euro Bản đồ, như được mô tả trongPhần 19.2.
Nếu bạn sử dụngmod_auth_kerbvàmod_perltrên của bạnApacheMáy chủ web, bạn có thể sử dụngvới Amod_perltập lệnh. Điều này cung cấp an toàn Truy cập cơ sở dữ liệu trên web, không có mật khẩu bổ sung yêu cầu.
Các tùy chọn cấu hình sau được hỗ trợ choKerberos:
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết.
Nếu được đặt thành 1, tên vương quốc từ người dùng được xác kèo bóng đá euro Hiệu trưởng được bao gồm trong tên người dùng hệ thống được truyền qua Ánh xạ tên người dùng (Phần 19.2). Điều này rất hữu ích để xử lý kèo bóng đá euro từ nhiều Realms.
Đặt vương quốc để phù hợp với tên chính của kèo bóng đá euro với. Nếu điều này Tham số được đặt, chỉ kèo bóng đá euro của vương quốc đó sẽ được chấp nhận. Nếu nó không được đặt, kèo bóng đá euro của bất kỳ vương quốc nào cũng có thể kết nối, tùy thuộc vào bất cứ điều gì ánh xạ tên kèo bóng đá euro đã hoàn thành.
Đặt tên máy chủ một phần của hiệu trưởng dịch vụ. Điều này, kết hợp vớiKRB_SRVNAME, được sử dụng để tạo hoàn thành hiệu trưởng dịch vụ, đó làKRB_SRVNAME/krb_server_hostname@Realm. Nếu không được đặt, mặc định là tên máy chủ máy chủ.
Phương thức xác kèo bóng đá euro nhận dạng hoạt động bằng cách lấy của máy khách Tên người dùng hệ điều hành từ máy chủ nhận dạng và sử dụng nó làm cho phép tên người dùng cơ sở dữ liệu (với ánh xạ tên người dùng tùy chọn). Điều này chỉ được hỗ trợ trên các kết nối TCP/IP.
Lưu ý:Khi nhận dạng được chỉ định cho cục bộ (không TCP/IP) Kết nối, Xác kèo bóng đá euro ngang hàng (xemPhần 19.3.7) sẽ được sử dụng thay vì.
Các tùy chọn cấu hình sau được hỗ trợ choNhận dạng:
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết.
The"Giao thức nhận dạng"IS được mô tả trong RFC 1413. Hầu như mọi hệ điều hành giống như UNIX Các vận chuyển với một máy chủ nhận dạng lắng nghe trên cổng TCP 113 theo mặc định. Chức năng cơ bản của máy chủ nhận dạng là trả lời các câu hỏi giống"kèo bóng đá euro nào đã bắt đầu kết nối mà đi ra khỏi cổng của bạnxvà kết nối với cổng của tôiy? ". TừPostgreSQLbiết cảxvàYKhi kết nối vật lý được thiết lập, nó có thể thẩm vấn máy chủ nhận dạng trên máy chủ của kết nối về mặt lý thuyết và khách hàng có thể kèo bóng đá euro định người dùng hệ điều hành Đối với bất kỳ kết nối đã cho.
Hạn chế của thủ tục này là nó phụ thuộc vào Tính toàn vẹn của máy khách: Nếu máy khách không được tin tưởng hoặc bị xâm phạm, một kẻ tấn công có thể chạy bất kỳ chương trình nào trên cổng 113 và trả về bất kỳ tên người dùng nào anh ta chọn. Phương pháp xác kèo bóng đá euro này do đó chỉ phù hợp cho các mạng đóng trong đó mỗi máy khách máy nằm dưới sự kiểm soát chặt chẽ và nơi cơ sở dữ liệu và hệ thống Quản trị viên hoạt động liên lạc chặt chẽ. Nói cách khác, bạn phải Tin tưởng máy chạy máy chủ nhận dạng. Chú ý cảnh báo:
|
Giao thức nhận dạng không được dự định làm ủy quyền hoặc giao thức kiểm soát truy cập. |
||
| --RFC 1413 | ||
Một số máy chủ nhận dạng có tùy chọn không đạt tiêu chuẩn gây ra Tên kèo bóng đá euro được trả về để được mã hóa, sử dụng khóa mà chỉ Quản trị viên của máy phát hành biết. Tùy chọn nàykhông đượcĐược sử dụng khi sử dụng nhận dạng Máy chủ cóPostgreSQL, kể từPostgreSQLkhông có cách nào Để giải mã chuỗi được trả về để xác định người dùng kèo bóng đá euro tế tên.
Phương pháp xác kèo bóng đá euro ngang hàng hoạt động bằng cách lấy của máy khách Tên người dùng hệ điều hành từ kernel và sử dụng nó làm cho phép tên người dùng cơ sở dữ liệu (với ánh xạ tên người dùng tùy chọn). Cái này Phương thức chỉ được hỗ trợ trên các kết nối cục bộ.
Các tùy chọn cấu hình sau được hỗ trợ choPeer:
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2để biết chi tiết.
Xác kèo bóng đá euro ngang hàng chỉ có sẵn trên các hệ điều hành
Cung cấpgetpeereid ()chức năng,
TheSO_PEERCREDTham số ổ cắm hoặc
cơ chế tương tự. Hiện tại bao gồmLinux, Hầu hết các hương vị củaBSDbao gồmMac OS
XvàSolaris.
Phương thức xác kèo bóng đá euro này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng LDAP làm mật khẩu Phương pháp xác minh. LDAP chỉ được sử dụng để xác nhận người dùng tên/cặp mật khẩu. Do đó người dùng phải tồn tại trong Cơ sở dữ liệu trước khi LDAP có thể được sử dụng để xác kèo bóng đá euro.
Xác kèo bóng đá euro LDAP có thể hoạt động ở hai chế độ. Trong chế độ đầu tiên, mà chúng tôi sẽ gọi là chế độ liên kết đơn giản, máy chủ sẽ liên kết với Tên phân biệt được xây dựng làtiền tố tên kèo bóng đá euro Hậu tố. Thông thường,tiền tốTham số được sử dụng để chỉ địnhCN =hoặcDOMAIN\Trong một hoạt động Môi trường thư mục.Hậu tốIS được sử dụng để chỉ định phần còn lại của DN trong một hoạt động Môi trường thư mục.
Trong chế độ thứ hai, chúng tôi sẽ gọi chế độ tìm kiếm+liên kết, máy chủ trước tiên liên kết với thư mục LDAP với tên kèo bóng đá euro cố định và Mật khẩu, được chỉ định vớildapbinddnvàLDAPBindpasswd, và kèo bóng đá euro hiện một Tìm kiếm người dùng đang cố gắng đăng nhập vào cơ sở dữ liệu. Nếu không có người dùng và mật khẩu được cấu hình, một liên kết ẩn danh sẽ được cố gắng thư mục. Tìm kiếm sẽ được kèo bóng đá euro hiện trên Subtree tạildapbasingnvà sẽ cố gắng kèo bóng đá euro hiện Kết hợp chính xác của thuộc tính được chỉ định trongLdapSearchAttribution. Khi người dùng đã tìm thấy trong tìm kiếm này, máy chủ ngắt kết nối và liên kết lại với thư mục làm người dùng này, sử dụng mật khẩu được chỉ định bởi máy khách, Để xác minh rằng đăng nhập là chính xác. Chế độ này giống như được sử dụng bởi các sơ đồ xác kèo bóng đá euro LDAP trong phần mềm khác, chẳng hạn như Apache MOD_AUTHNZ_LDAP và PAM_LDAP. Phương pháp này cho phép Tính linh hoạt hơn đáng kể trong vị trí đối tượng người dùng Nằm trong thư mục, nhưng sẽ gây ra hai kết nối riêng biệt đến máy chủ LDAP được tạo.
Các tùy chọn cấu hình sau được sử dụng trong cả hai chế độ:
Tên hoặc địa chỉ IP của máy chủ LDAP để kết nối. Nhiều Máy chủ có thể được chỉ định, được phân tách bằng khoảng trắng.
Số cổng trên máy chủ LDAP để kết nối với. Nếu không có cổng là được chỉ định, cài đặt cổng mặc định của thư viện LDAP sẽ là đã sử dụng.
Đặt thành 1 để tạo kết nối giữa PostgreSQL và LDAP Máy chủ sử dụng mã hóa TLS. Lưu ý rằng điều này chỉ mã hóa lưu lượng đến máy chủ LDAP - kết nối với máy khách vẫn sẽ không được mã hóa trừ khi SSL được sử dụng.
Các tùy chọn sau chỉ được sử dụng ở chế độ liên kết đơn giản:
Chuỗi để chuẩn bị cho tên người dùng khi tạo DN để liên kết như khi kèo bóng đá euro hiện xác kèo bóng đá euro liên kết đơn giản.
Chuỗi nối vào tên người dùng khi tạo DN để liên kết như khi kèo bóng đá euro hiện xác kèo bóng đá euro liên kết đơn giản.
Các tùy chọn sau chỉ được sử dụng trong chế độ tìm kiếm+liên kết:
Root DN để bắt đầu tìm kiếm người dùng, khi kèo bóng đá euro hiện Tìm kiếm+Xác kèo bóng đá euro liên kết.
DN của người dùng để liên kết với thư mục để kèo bóng đá euro hiện tìm kiếm Khi kèo bóng đá euro hiện xác kèo bóng đá euro tìm kiếm+liên kết.
Mật khẩu cho người dùng liên kết với thư mục để kèo bóng đá euro hiện Tìm kiếm khi kèo bóng đá euro hiện xác kèo bóng đá euro tìm kiếm+liên kết.
thuộc tính phù hợp với tên người dùng trong tìm kiếm khi kèo bóng đá euro hiện tìm kiếm+xác kèo bóng đá euro liên kết. Nếu không có thuộc tính nào được chỉ định,uidthuộc tính sẽ được sử dụng.
URL LDAP RFC 4516 LDAP. Đây là một cách khác để viết một số của các tùy chọn LDAP khác ở dạng nhỏ gọn và tiêu chuẩn hơn. Các Định dạng là
LDAP: //host[:Cổng]/dựa trên[? [thuộc tính] [? [Phạm vi]]]
Phạm viphải là một trongcơ sở, One, sub, Thông thường cái sau. Chỉ một thuộc tính là được sử dụng và một số thành phần khác của các URL LDAP tiêu chuẩn như bộ lọc và tiện ích mở rộng không được hỗ trợ.
cho các ràng buộc không ẩn danh,ldapbinddnvàldapbindpasswdphải được chỉ định là Tùy chọn riêng biệt.
Để sử dụng các kết nối LDAP được mã hóa,ldaptlsTùy chọn phải được sử dụng ngoàildapurl. TheLDAPSSơ đồ url (kết nối SSL trực tiếp) không được hỗ trợ.
URL LDAP hiện chỉ được hỗ trợ với OpenLDAP, không BẬT Windows.
Đó là lỗi khi trộn các tùy chọn cấu hình cho liên kết đơn giản với Tùy chọn cho tìm kiếm+BIND.
Đây là một ví dụ cho cấu hình LDAP Bind đơn giản:
37685_37780
Khi kết nối với máy chủ cơ sở dữ liệu dưới dạng kèo bóng đá euro cơ sở dữ liệuSOOMUSERđược yêu cầu, PostgreSQL sẽ Cố gắng liên kết với máy chủ LDAP bằng DNCN = someuser, dc = example, dc = netvà mật khẩu được cung cấp bởi khách hàng. Nếu kết nối đó thành công, cơ sở dữ liệu Truy cập được cấp.
Đây là một ví dụ cho tìm kiếm+cấu hình liên kết:
38209_38309
Khi kết nối với máy chủ cơ sở dữ liệu dưới dạng kèo bóng đá euro cơ sở dữ liệuSOOMUSERđược yêu cầu, PostgreSQL sẽ cố gắng liên kết ẩn danh (kể từldapbinddnkhông được chỉ định) cho máy chủ LDAP, kèo bóng đá euro hiện tìm kiếm(uid = someuser)dưới Các cơ sở được chỉ định DN. Nếu một mục được tìm thấy, sau đó nó sẽ thử để liên kết bằng cách sử dụng thông tin đã tìm thấy đó và mật khẩu được cung cấp bởi khách hàng. Nếu kết nối thứ hai thành công, truy cập cơ sở dữ liệu được cấp.
Đây là cùng một tìm kiếm+cấu hình liên kết được viết dưới dạng URL:
38929_39005
Một số phần mềm khác hỗ trợ xác kèo bóng đá euro chống lại LDAP sử dụng cùng một định dạng URL, vì vậy sẽ dễ dàng hơn để chia sẻ Cấu hình.
Tip:Vì LDAP thường sử dụng dấu phẩy và không gian để tách các phần khác nhau của DN, thường cần sử dụng giá trị tham số được trích dẫn kép khi định cấu hình các tùy chọn LDAP, như hiển thị trong các ví dụ.
Phương thức xác kèo bóng đá euro này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng RADIUS làm mật khẩu Phương pháp xác minh. Bán kính chỉ được sử dụng để xác nhận người dùng tên/cặp mật khẩu. Do đó người dùng phải tồn tại trong Cơ sở dữ liệu trước khi bán kính có thể được sử dụng để xác kèo bóng đá euro.
Khi sử dụng xác kèo bóng đá euro RADIUS, thông báo yêu cầu truy cập sẽ được gửi đến máy chủ RADIUS được cấu hình. Yêu cầu này sẽ là của kiểuChỉ xác kèo bóng đá euro, và bao gồm tham số choTên kèo bóng đá euro, Mật khẩu(được mã hóa) vàNAS Định danh40210_40341Access Accepthoặctừ chối truy cập. Không có hỗ trợ cho Kế toán bán kính.
Các tùy chọn cấu hình sau được hỗ trợ cho Bán kính:
Tên hoặc địa chỉ IP của máy chủ RADIUS để kết nối. Cái này tham số là bắt buộc.
Bí mật được chia sẻ được sử dụng khi nói chuyện an toàn với bán kính máy chủ. Điều này phải có chính kèo bóng đá euro cùng một giá trị trên PostgreSQL và Máy chủ bán kính. Khuyến nghị rằng đây là một chuỗi ít nhất 16 ký tự. Tham số này là bắt buộc.
Lưu ý:vectơ mã hóa được sử dụng sẽ chỉ là mạnh về mặt mật mã nếuPostgreSQLđược xây dựng với sự hỗ trợ choOpenSSL. Trong các trường hợp khác, Truyền đến máy chủ RADIUS chỉ nên được xem xét Bỏ qua, không được bảo đảm và các biện pháp an ninh bên ngoài nên được được áp dụng nếu cần thiết.
Số cổng trên máy chủ RADIUS để kết nối. Nếu không có cổng được chỉ định, cổng mặc định1812Will được sử dụng.
Chuỗi được sử dụng làmĐịnh danh NASin các yêu cầu bán kính. Tham số này có thể được sử dụng như một thứ hai tham số xác định ví dụ người dùng cơ sở dữ liệu nào người dùng cố gắng xác kèo bóng đá euro là, có thể được sử dụng cho chính sách Kết hợp trên máy chủ RADIUS. Nếu không có định danh được chỉ định, mặc địnhPostgreSQLsẽ được sử dụng.
Phương thức xác kèo bóng đá euro này sử dụng chứng chỉ máy khách SSL để kèo bóng đá euro hiện xác kèo bóng đá euro. Do đó nó chỉ có sẵn cho SSL kết nối. Khi sử dụng phương thức xác kèo bóng đá euro này, máy chủ sẽ yêu cầu khách hàng cung cấp một chứng chỉ hợp lệ. Không có mật khẩu Lời nhắc sẽ được gửi đến khách hàng. TheCN(tên chung) thuộc tính của chứng chỉ sẽ được so sánh với Tên kèo bóng đá euro cơ sở dữ liệu được yêu cầu và nếu chúng khớp, đăng nhập sẽ cho phép. Ánh xạ tên kèo bóng đá euro có thể được sử dụng để cho phépCNĐể khác với tên kèo bóng đá euro cơ sở dữ liệu.
Các tùy chọn cấu hình sau được hỗ trợ cho SSL Xác kèo bóng đá euro chứng chỉ:
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết.
Phương thức xác kèo bóng đá euro này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng pam (có thể cắm được Mô -đun xác kèo bóng đá euro) là cơ chế xác kèo bóng đá euro. Các Tên dịch vụ PAM mặc định làPostgreSQL. PAM chỉ được sử dụng để xác nhận các cặp tên người dùng/mật khẩu. Vì thế Người dùng phải tồn tại trong cơ sở dữ liệu trước khi PAM có thể được sử dụng để xác kèo bóng đá euro. Để biết thêm thông tin về PAM, vui lòng đọcLinux-Pamtrang.
Các tùy chọn cấu hình sau được hỗ trợ cho PAM:
Tên dịch vụ PAM.
Lưu ý:Nếu PAM được thiết lập để đọc/etc/bóng, xác kèo bóng đá euro sẽ thất bại vì Máy chủ PostgreSQL được bắt đầu bởi người dùng không root. Tuy nhiên, đây là không phải là vấn đề khi PAM được cấu hình để sử dụng LDAP hoặc khác Phương thức xác kèo bóng đá euro.