| PostgreSQL: soi kèo bóng đá truoctran | |||
|---|---|---|---|
| prev | UP | Chương 19. Xác kèo bóng đá pháp khách hàng | NEXT |
Các tiểu mục sau đây mô tả các phương thức xác kèo bóng đá pháp chi tiết hơn.
khiTrustXác kèo bóng đá pháp được chỉ định,kèo bóng đá phápGiả sử rằng bất kỳ ai có thể kết nối với máy chủ đều được ủy quyền truy cập cơ sở dữ liệu với bất kỳ tên người dùng cơ sở dữ liệu nào mà họ chỉ định (thậm chí tên siêu âm). Tất nhiên, các hạn chế được kèo bóng đá pháp hiện trongCơ sở dữ liệuvàuserCột vẫn áp dụng. kèo bóng đá pháp pháp này chỉ nên được sử dụng khi có bảo vệ cấp hệ điều hành đầy đủ trên các kết nối với máy chủ.
TrustXác kèo bóng đá pháp là phù hợp và rất thuận tiện cho các kết nối cục bộ trên máy trạm duy nhất của người dùng. Nó thường làkhôngThích hợp trên máy nhiều người. Tuy nhiên, bạn có thể sử dụngTrustNgay cả trên máy nhiều người, nếu bạn hạn chế quyền truy cập vào tệp ổ cắm miền đơn vị của máy chủ bằng cách sử dụng các quyền hệ thống tệp. Để làm điều này, đặtunix_socket_permissions(và có thểunix_socket_group) Tham số cấu hình như được mô tả trongPhần 18.3. Hoặc bạn có thể đặtunix_socket_directoriesTham số cấu hình để đặt tệp ổ cắm vào thư mục bị hạn chế phù hợp.
Thiết lập quyền hệ thống tệp chỉ giúp các kết nối ổ cắm unix. Các kết nối TCP/IP cục bộ không bị hạn chế bởi các quyền hệ thống tệp. Do đó, nếu bạn muốn sử dụng quyền hệ thống tệp cho bảo mật cục bộ, hãy xóaMáy chủ ... 127.0.0.1 ...dòng từpg_hba.conf12639_12665TrustPhương pháp xác kèo bóng đá pháp.
TrustXác kèo bóng đá pháp chỉ phù hợp với các kết nối TCP/IP nếu bạn tin tưởng mọi người dùng trên mọi máy được phép kết nối với máy chủ bởipg_hba.confCác dòng chỉ địnhTrust. Thật hiếm khi hợp lý khi sử dụngTrustĐối với bất kỳ kết nối TCP/IP nào khác với các kết nối từLocalhost(127.0.0.1).
Các phương thức xác kèo bóng đá pháp dựa trên mật khẩu làMD5vàMật khẩu. Các kèo bóng đá pháp thức này hoạt động tương tự ngoại trừ cách mà mật khẩu được gửi qua kết nối, cụ thể là MD5 bị hỏng và văn bản rõ ràng.
Nếu bạn hoàn toàn quan tâm đến mật khẩu"Sniffing"tấn công sau đóMD5được ưa thích. Đơn giảnMật khẩunên luôn luôn tránh nếu có thể. Tuy nhiên,MD5Không thể được sử dụng vớidb_user_namespaceTính năng. Nếu kết nối được bảo vệ bởi mã hóa SSL thìMật khẩucó thể được sử dụng một cách an toàn (mặc dù xác kèo bóng đá pháp chứng chỉ SSL có thể là lựa chọn tốt hơn nếu một người phụ thuộc vào việc sử dụng SSL).
kèo bóng đá phápMật khẩu cơ sở dữ liệu tách biệt với mật khẩu kèo bóng đá pháp hệ điều hành. Mật khẩu cho mỗi kèo bóng đá pháp cơ sở dữ liệu được lưu trữ trongpg_authidDanh mục hệ thống. Mật khẩu có thể được quản lý bằng các lệnh SQLPostgreSQL: Tài liệu:vàPostgreSQL: Tài liệu:, ví dụ:Tạo kèo bóng đá pháp foo với mật khẩu 'bí mật'. Nếu không có mật khẩu nào được thiết lập cho người dùng, mật khẩu được lưu trữ là null và xác kèo bóng đá pháp mật khẩu sẽ luôn thất bại cho người dùng đó.
GSSAPIlà một giao thức tiêu chuẩn công nghiệp để xác kèo bóng đá pháp an toàn được xác định trong RFC 2743.kèo bóng đá phápHỗ trợGSSAPIvớiKerberosXác kèo bóng đá pháp theo RFC 1964.GSSAPICung cấp xác kèo bóng đá pháp tự động (đăng nhập một lần) cho các hệ thống hỗ trợ nó. Bản thân xác kèo bóng đá pháp được bảo mật, nhưng dữ liệu được gửi qua kết nối cơ sở dữ liệu sẽ được gửi không được mã hóa trừ khiSSLđược sử dụng.
Hỗ trợ GSSAPI phải được bật khikèo bóng đá phápđược xây dựng; nhìn thấyChương 15Để biết thêm thông tin.
KhiGSSAPIsử dụngKerberos, nó sử dụng một hiệu trưởng tiêu chuẩn ở định dạngServiceName/tên máy chủ@Realm. Máy chủ PostgreSQL sẽ chấp nhận bất kỳ hiệu trưởng nào được bao gồm trong Keytab được sử dụng bởi máy chủ, nhưng cần phải cẩn thận để chỉ định các chi tiết chính kèo bóng đá pháp khi tạo kết nối từ máy khách bằng cách sử dụngkrbsrvnameTham số kết nối. (Xem thêmPhần 31.1.2.) Mặc định cài đặt có thể được thay đổi từ mặc địnhPostgresTại thời điểm xây dựng bằng cách sử dụng./configure--with-krb-srvnam =bất cứ điều gì. Trong hầu hết các môi trường, tham số này không bao giờ cần phải thay đổi. Một số triển khai Kerberos có thể yêu cầu một tên dịch vụ khác, chẳng hạn như Microsoft Active Directory yêu cầu tên dịch vụ phải ở trong trường hợp trên (Postgres).
tên máy chủlà tên máy chủ đủ điều kiện của máy chủ. Vương quốc của Hiệu trưởng dịch vụ là vương quốc ưa thích của máy chủ.
Hiệu trưởng khách hàng có thể được ánh xạ tới khác nhaukèo bóng đá phápTên kèo bóng đá pháp cơ sở dữ liệu vớipg_ident.conf. Ví dụ,pgusername@realmcó thể được ánh xạ tới chỉpgusername. Ngoài ra, bạn có thể sử dụng đầy đủtên kèo bóng đá pháp@realmHiệu trưởng là tên vai trò trongkèo bóng đá phápKhông có bất kỳ ánh xạ nào.
kèo bóng đá phápcũng hỗ trợ tham số để tước vương quốc khỏi hiệu trưởng. kèo bóng đá pháp pháp này được hỗ trợ để tương thích ngược và không được khuyến khích mạnh mẽ vì sau đó không thể phân biệt người dùng khác nhau với cùng tên người dùng nhưng đến từ các cõi khác nhau. Để bật cái này, đặtbao gồm_realmđến 0. Để cài đặt đơn đơn giản,bao gồm_realmKết hợp vớiKRB_REALMtham số (kiểm tra xem vương quốc có phù hợp với chính kèo bóng đá pháp những gì có trongKRB_REALMTham số) sẽ là một tùy chọn an toàn nhưng ít khả năng hơn so với việc chỉ định ánh xạ rõ ràng trongpg_ident.conf.
Đảm bảo rằng tệp keytab máy chủ của bạn có thể đọc được (và tốt nhất là chỉ có thể đọc được) bởikèo bóng đá phápTài khoản máy chủ. (Xem thêmPhần 17.1.) The location of the key file is specified by thekrb_server_keyfileTham số cấu hình. Mặc định là/usr/local/pgsql/etc/krb5.keytab(hoặc bất kỳ thư mục nào được chỉ định làsysconfdirTại thời điểm xây dựng). Vì lý do bảo mật, nên sử dụng một keytab riêng biệt chỉ chokèo bóng đá phápMáy chủ thay vì mở các quyền trên tệp keytab hệ thống.
Tệp Keytab được tạo bởi phần mềm Kerberos; Xem tài liệu Kerberos để biết chi tiết. Ví dụ sau đây dành cho triển khai Kerberos 5 tương thích MIT:
Kadmin%Ank -randkey postgres/server.my.domain.org Kadmin%KTADD -K KRB5.KEYTAB POSTGRES/server.my.domain.org
Khi kết nối với cơ sở dữ liệu, hãy đảm bảo bạn có một vé cho một hiệu trưởng khớp tên kèo bóng đá pháp cơ sở dữ liệu được yêu cầu. Ví dụ: cho tên kèo bóng đá pháp cơ sở dữ liệuFred, Hiệu trưởngfred@example.comsẽ có thể kết nối. Cũng cho phép Hiệu trưởngfred/users.example.com@example.com, Sử dụng bản đồ tên kèo bóng đá pháp, như được mô tả trongPhần 19.2.
Các tùy chọn cấu hình sau được hỗ trợ choGSSAPI:
19893_20028Phần 19.2). Điều này không được khuyến khích và chủ yếu có sẵn để tương thích ngược vì nó không an toàn trong môi trường đa kèo bóng đá pháp tế trừ khiKRB_REALMcũng được sử dụng. kèo bóng đá pháp được khuyến nghị để lại bao gồm_realm được đặt thành mặc định (1) và để cung cấp ánh xạ rõ ràng trongpg_ident.conf.
Cho phép ánh xạ giữa tên kèo bóng đá pháp hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết. Đối với hiệu trưởng GSSAPI/Kerberos, chẳng hạn nhưusername@example.com(hoặc, ít phổ biến hơn,20715_20747), tên kèo bóng đá pháp được sử dụng để ánh xạ làusername@example.com(hoặc20857_20889, tương ứng), trừ khibao gồm_realmđã được đặt thành 0, trong trường hợp đótên kèo bóng đá pháp(hoặctên kèo bóng đá pháp/hostbased) là những gì được xem là tên kèo bóng đá pháp hệ thống khi ánh xạ.
Đặt vương quốc để phù hợp với tên chính của người dùng với. Nếu tham số này được đặt, chỉ người dùng của vương quốc đó sẽ được chấp nhận. Nếu nó không được đặt, người dùng của bất kỳ vương quốc nào cũng có thể kết nối, tùy thuộc vào bất kỳ bản đồ tên người dùng nào được kèo bóng đá pháp hiện.
SSPIlà AWindowsCông nghệ xác kèo bóng đá pháp an toàn với đăng nhập một lần.kèo bóng đá phápSẽ sử dụng SSPI trongĐàm phánMode, sẽ sử dụngKerberosKhi có thể và tự động quay trở lạiNTLMTrong các trường hợp khác.SSPIXác kèo bóng đá pháp chỉ hoạt động khi cả máy chủ và máy khách đang chạyWindows, hoặc, trên các nền tảng không phải Windows, khiGSSAPIcó sẵn.
Khi sử dụngKerberosXác kèo bóng đá pháp,SSPIhoạt động theo cùng một cáchGSSAPIkhông; nhìn thấyPhần 19.3.3Để biết chi tiết.
Các tùy chọn cấu hình sau được hỗ trợ choSSPI:
Nếu được đặt thành 0, tên Realm từ hiệu trưởng người dùng được xác kèo bóng đá pháp bị loại bỏ trước khi được truyền qua ánh xạ tên người dùng (Phần 19.2). Điều này không được khuyến khích và chủ yếu có sẵn để tương thích ngược vì nó không an toàn trong môi trường đa kèo bóng đá pháp tế trừ khiKRB_REALMcũng được sử dụng. kèo bóng đá pháp được khuyến nghị để lại bao gồm_realm được đặt thành mặc định (1) và để cung cấp ánh xạ rõ ràng trongpg_ident.conf.
Cho phép ánh xạ giữa tên kèo bóng đá pháp hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết. Đối với hiệu trưởng SSPI/Kerberos, chẳng hạn nhưusername@example.com(hoặc, ít phổ biến hơn,23452_23484), tên kèo bóng đá pháp được sử dụng để ánh xạ làusername@example.com(hoặc23594_23626, respectively), unlessbao gồm_realmđã được đặt thành 0, trong trường hợp đótên kèo bóng đá pháp(hoặctên kèo bóng đá pháp/hostbased) là những gì được xem là tên kèo bóng đá pháp hệ thống khi ánh xạ.
Đặt vương quốc để phù hợp với tên chính của người dùng với. Nếu tham số này được đặt, chỉ người dùng của vương quốc đó sẽ được chấp nhận. Nếu nó không được đặt, người dùng của bất kỳ vương quốc nào cũng có thể kết nối, tùy thuộc vào bất kỳ bản đồ tên người dùng nào được kèo bóng đá pháp hiện.
Phương thức xác kèo bóng đá pháp nhận dạng hoạt động bằng cách lấy tên người dùng hệ điều hành của máy khách từ máy chủ nhận dạng và sử dụng nó làm tên người dùng cơ sở dữ liệu được phép (với ánh xạ tên người dùng tùy chọn). Điều này chỉ được hỗ trợ trên các kết nối TCP/IP.
Lưu ý:Khi nhận dạng được chỉ định cho kết nối cục bộ (không TCP/IP), xác kèo bóng đá pháp ngang hàng (xemPhần 19.3.6) sẽ được sử dụng thay thế.
Các tùy chọn cấu hình sau được hỗ trợ choNhận dạng:
Cho phép ánh xạ giữa tên kèo bóng đá pháp hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết.
The"Giao thức nhận dạng"được mô tả trong RFC 1413. Hầu như mọi hệ điều hành giống như UNIX đều vận chuyển với một máy chủ nhận dạng lắng nghe trên cổng TCP 113 theo mặc định. Chức năng cơ bản của máy chủ nhận dạng là trả lời các câu hỏi như"kèo bóng đá pháp nào đã bắt đầu kết nối ra khỏi cổng của bạnxvà kết nối với cổng của tôiy? ". Từkèo bóng đá phápbiết cả haixvàYKhi kết nối vật lý được thiết lập, nó có thể thẩm vấn máy chủ nhận dạng trên máy chủ của máy khách kết nối và về mặt lý thuyết kèo bóng đá pháp hệ điều hành cho bất kỳ kết nối nào.
Hạn chế của quy trình này là nó phụ thuộc vào tính toàn vẹn của máy khách: Nếu máy khách không được tin tưởng hoặc bị xâm phạm, kẻ tấn công có thể chạy bất kỳ chương trình nào trên cổng 113 và trả về bất kỳ tên người dùng nào anh ta chọn. Do đó, phương pháp xác kèo bóng đá pháp này chỉ phù hợp với các mạng đóng trong đó mỗi máy khách được kiểm soát chặt chẽ và nơi cơ sở dữ liệu và quản trị viên hệ thống hoạt động tiếp xúc chặt chẽ. Nói cách khác, bạn phải tin tưởng máy chạy máy chủ nhận dạng. Chú ý cảnh báo:
|
Giao thức nhận dạng không được dự định là giao thức ủy quyền hoặc kiểm soát truy cập. |
||
| --RFC 1413 | ||
Một số máy chủ nhận dạng có tùy chọn không đạt tiêu chuẩn khiến tên kèo bóng đá pháp được trả về được mã hóa, sử dụng khóa mà chỉ có quản trị viên của máy phát hành biết. Tùy chọn nàykhông đượcĐược sử dụng khi sử dụng máy chủ nhận dạng vớikèo bóng đá pháp, kể từkèo bóng đá phápKhông có cách nào để giải mã chuỗi được trả về để xác định tên người dùng kèo bóng đá pháp tế.
Phương thức xác kèo bóng đá pháp ngang hàng hoạt động bằng cách lấy tên người dùng hệ điều hành của máy khách từ kernel và sử dụng nó làm tên người dùng cơ sở dữ liệu được phép (với ánh xạ tên người dùng tùy chọn). Phương thức này chỉ được hỗ trợ trên các kết nối cục bộ.
Các tùy chọn cấu hình sau được hỗ trợ choPeer:
Cho phép ánh xạ giữa tên kèo bóng đá pháp hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết.
Xác kèo bóng đá pháp ngang hàng chỉ có sẵn trên các hệ điều hành cung cấpgetpeereid ()chức năng,SO_PEERCREDTham số ổ cắm hoặc các cơ chế tương tự. Hiện tại bao gồmLinux, Hầu hết các hương vị củaBSDbao gồmOS XvàSolaris.
Phương thức xác kèo bóng đá pháp này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng LDAP làm phương thức xác minh mật khẩu. LDAP chỉ được sử dụng để xác kèo bóng đá pháp các cặp tên người dùng/mật khẩu. Do đó, người dùng phải tồn tại trong cơ sở dữ liệu trước khi LDAP có thể được sử dụng để xác kèo bóng đá pháp.
Xác kèo bóng đá pháp LDAP có thể hoạt động ở hai chế độ. Trong chế độ đầu tiên, chúng ta sẽ gọi chế độ liên kết đơn giản, máy chủ sẽ liên kết với tên phân biệt được xây dựng làtiền tố tên kèo bóng đá pháp Hậu tố. Thông thường,tiền tốTham số được sử dụng để chỉ địnhCN =hoặcDOMAIN\Trong môi trường Active Directory.Hậu tốđược sử dụng để chỉ định phần còn lại của DN trong môi trường thư mục không hoạt động.
Trong chế độ thứ hai, chúng tôi sẽ gọi chế độ tìm kiếm+liên kết, đầu tiên máy chủ liên kết với thư mục LDAP với tên kèo bóng đá pháp và mật khẩu cố định, được chỉ định vớildapbinddnvàldapbindpasswdvà kèo bóng đá pháp hiện tìm kiếm người dùng đang cố gắng đăng nhập vào cơ sở dữ liệu. Nếu không có người dùng và mật khẩu được cấu hình, một liên kết ẩn danh sẽ được thử đến thư mục. Tìm kiếm sẽ được kèo bóng đá pháp hiện trên Subtree tạildapbasingn, and will try to do an exact match of the attribute specified inLdapSearchAttribution. Khi người dùng đã được tìm thấy trong tìm kiếm này, máy chủ sẽ ngắt kết nối và liên kết lại với thư mục như người dùng này, sử dụng mật khẩu do máy khách chỉ định, để xác minh rằng đăng nhập là chính xác. Chế độ này giống như chế độ được sử dụng bởi các sơ đồ xác kèo bóng đá pháp LDAP trong phần mềm khác, chẳng hạn như ApacheMOD_AUTHNZ_LDAPvàPAM_LDAP. kèo bóng đá pháp pháp này cho phép linh hoạt hơn đáng kể trong đó các đối tượng người dùng được đặt trong thư mục, nhưng sẽ khiến hai kết nối riêng biệt với máy chủ LDAP được tạo.
Các tùy chọn cấu hình sau được sử dụng trong cả hai chế độ:
Tên hoặc địa chỉ IP của máy chủ LDAP để kết nối. Nhiều máy chủ có thể được chỉ định, được phân tách bằng khoảng trắng.
Số cổng trên máy chủ LDAP để kết nối với. Nếu không có cổng nào được chỉ định, cài đặt cổng mặc định của thư viện LDAP sẽ được sử dụng.
Đặt thành 1 để tạo kết nối giữa kèo bóng đá pháp và máy chủ LDAP sử dụng mã hóa TLS. Lưu ý rằng điều này chỉ mã hóa lưu lượng truy cập vào máy chủ LDAP - kết nối với máy khách vẫn sẽ không được mã hóa trừ khi SSL được sử dụng.
Các tùy chọn sau chỉ được sử dụng ở chế độ liên kết đơn giản:
Chuỗi để chuẩn bị cho tên người dùng khi tạo DN để liên kết AS, khi kèo bóng đá pháp hiện xác kèo bóng đá pháp liên kết đơn giản.
Chuỗi nối vào tên người dùng khi hình thành DN để liên kết AS, khi kèo bóng đá pháp hiện xác kèo bóng đá pháp liên kết đơn giản.
Các tùy chọn sau chỉ được sử dụng trong chế độ tìm kiếm+liên kết:
root DN để bắt đầu tìm kiếm người dùng, khi kèo bóng đá pháp hiện tìm kiếm+xác kèo bóng đá pháp liên kết.
DN của người dùng để liên kết với thư mục để kèo bóng đá pháp hiện tìm kiếm khi kèo bóng đá pháp hiện xác kèo bóng đá pháp tìm kiếm+liên kết.
Mật khẩu cho người dùng liên kết với thư mục với kèo bóng đá pháp hiện tìm kiếm khi kèo bóng đá pháp hiện xác kèo bóng đá pháp tìm kiếm+liên kết.
Thuộc tính phù hợp với tên người dùng trong tìm kiếm khi kèo bóng đá pháp hiện xác kèo bóng đá pháp tìm kiếm+liên kết. Nếu không có thuộc tính nào được chỉ định,UIDthuộc tính sẽ được sử dụng.
URL LDAP RFC 4516 LDAP. Đây là một cách khác để viết một số tùy chọn LDAP khác ở dạng nhỏ gọn và tiêu chuẩn hơn. Định dạng là
LDAP: //máy chủ[:Cổng]/dựa trên[? [thuộc tính] [? [Phạm vi]]]
Phạm viphải là một trongcơ sở, One, sub, Thông thường cái sau. Chỉ có một thuộc tính được sử dụng và một số thành phần khác của các URL LDAP tiêu chuẩn như bộ lọc và tiện ích mở rộng không được hỗ trợ.
Đối với các ràng buộc không ẩn danh,ldapbinddnvàldapbindpasswdphải được chỉ định là tùy chọn riêng.
Để sử dụng các kết nối LDAP được mã hóa,ldaptlsTùy chọn phải được sử dụng ngoàildapurl. TheLDAPSSơ đồ url (kết nối SSL trực tiếp) không được hỗ trợ.
URL LDAP hiện chỉ được hỗ trợ với OpenLDAP, không phải trên Windows.
Đó là lỗi khi trộn các tùy chọn cấu hình cho liên kết đơn giản với các tùy chọn cho tìm kiếm+liên kết.
Đây là một ví dụ cho cấu hình LDAP Bind đơn giản:
34174_34268
Khi kết nối với máy chủ cơ sở dữ liệu dưới dạng kèo bóng đá pháp cơ sở dữ liệuSOOMUSERđược yêu cầu, kèo bóng đá pháp sẽ cố gắng liên kết với máy chủ LDAP bằng DNCN = someuser, dc = example, dc = netvà mật khẩu do khách hàng cung cấp. Nếu kết nối đó thành công, truy cập cơ sở dữ liệu được cấp.
Đây là một ví dụ cho tìm kiếm+cấu hình liên kết:
34696_34795
Khi kết nối với máy chủ cơ sở dữ liệu dưới dạng kèo bóng đá pháp cơ sở dữ liệuSOOMUSERđược yêu cầu, kèo bóng đá pháp sẽ cố gắng liên kết ẩn danh (kể từldapbinddnkhông được chỉ định) cho máy chủ LDAP, kèo bóng đá pháp hiện tìm kiếm(uid = someuser)Theo cơ sở được chỉ định DN. Nếu một mục được tìm thấy, sau đó nó sẽ cố gắng liên kết bằng cách sử dụng thông tin được tìm thấy và mật khẩu do khách hàng cung cấp. Nếu kết nối thứ hai thành công, truy cập cơ sở dữ liệu được cấp.
Đây là cùng một tìm kiếm+cấu hình liên kết được viết dưới dạng URL:
35414_35489
Một số phần mềm khác hỗ trợ xác kèo bóng đá pháp đối với LDAP sử dụng cùng một định dạng URL, do đó sẽ dễ dàng hơn để chia sẻ cấu hình.
Tip:Vì LDAP thường sử dụng dấu phẩy và không gian để tách các phần khác nhau của DN, nên thường cần sử dụng các giá trị tham số được trích xuất kép khi định cấu hình các tùy chọn LDAP, như trong các ví dụ.
Phương thức xác kèo bóng đá pháp này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng RADIUS làm phương thức xác minh mật khẩu. RADIUS chỉ được sử dụng để xác kèo bóng đá pháp các cặp tên người dùng/mật khẩu. Do đó, người dùng phải tồn tại trong cơ sở dữ liệu trước khi bán kính có thể được sử dụng để xác kèo bóng đá pháp.
Khi sử dụng xác kèo bóng đá pháp RADIUS, thông báo yêu cầu truy cập sẽ được gửi đến máy chủ RADIUS được định cấu hình. Yêu cầu này sẽ thuộc loạiChỉ xác kèo bóng đá phápvà bao gồm các tham số choTên kèo bóng đá pháp, Mật khẩu(được mã hóa) vàĐịnh danh NAS. Yêu cầu sẽ được mã hóa bằng cách sử dụng bí mật được chia sẻ với máy chủ. Máy chủ RADIUS sẽ phản hồi với máy chủ này vớiAccess Accepthoặctừ chối truy cập. Không có hỗ trợ cho kế toán bán kính.
Các tùy chọn cấu hình sau được hỗ trợ cho bán kính:
Tên hoặc địa chỉ IP của máy chủ RADIUS để kết nối với. Tham số này là bắt buộc.
Bí mật được chia sẻ được sử dụng khi nói chuyện an toàn với máy chủ RADIUS. Điều này phải có chính kèo bóng đá pháp cùng một giá trị trên các máy chủ PostgreSQL và RADIUS. Chúng tôi khuyến nghị rằng đây là một chuỗi ít nhất 16 ký tự. Tham số này là bắt buộc.
Lưu ý:vectơ mã hóa được sử dụng sẽ chỉ mạnh về mặt mật mã nếukèo bóng đá phápđược xây dựng với sự hỗ trợ choOpenSSL. Trong các trường hợp khác, việc truyền vào máy chủ RADIUS chỉ nên được coi là bị che giấu, không được bảo đảm và các biện pháp bảo mật bên ngoài nên được áp dụng nếu cần thiết.
Số cổng trên máy chủ RADIUS để kết nối với. Nếu không có cổng nào được chỉ định, cổng mặc định1812sẽ được sử dụng.
Chuỗi được sử dụng làmĐịnh danh NASTrong các yêu cầu bán kính. Tham số này có thể được sử dụng như một tham số thứ hai xác định ví dụ, người dùng cơ sở dữ liệu mà người dùng đang cố gắng xác kèo bóng đá pháp là, có thể được sử dụng để khớp chính sách trên máy chủ RADIUS. Nếu không có định danh được chỉ định, mặc địnhkèo bóng đá phápsẽ được sử dụng.
Phương thức xác kèo bóng đá pháp này sử dụng chứng chỉ máy khách SSL để kèo bóng đá pháp hiện xác kèo bóng đá pháp. Do đó, nó chỉ có sẵn cho các kết nối SSL. Khi sử dụng phương thức xác kèo bóng đá pháp này, máy chủ sẽ yêu cầu máy khách cung cấp chứng chỉ hợp lệ. Không có lời nhắc mật khẩu sẽ được gửi cho khách hàng. TheCN(Tên chung) Thuộc tính của chứng chỉ sẽ được so sánh với tên kèo bóng đá pháp cơ sở dữ liệu được yêu cầu và nếu chúng khớp với đăng nhập sẽ được cho phép. Ánh xạ tên kèo bóng đá pháp có thể được sử dụng để cho phépCNĐể khác với tên kèo bóng đá pháp cơ sở dữ liệu.
Các tùy chọn cấu hình sau được hỗ trợ cho xác kèo bóng đá pháp chứng chỉ SSL:
Cho phép ánh xạ giữa tên kèo bóng đá pháp hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 19.2Để biết chi tiết.
Phương thức xác kèo bóng đá pháp này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng PAM (Mô -đun xác kèo bóng đá pháp có thể cắm) làm cơ chế xác kèo bóng đá pháp. Tên dịch vụ PAM mặc định làkèo bóng đá pháp. PAM chỉ được sử dụng để xác nhận các cặp tên người dùng/mật khẩu. Do đó, người dùng phải tồn tại trong cơ sở dữ liệu trước khi PAM có thể được sử dụng để xác kèo bóng đá pháp. Để biết thêm thông tin về PAM, vui lòng đọcLinux-Pamtrang.
Các tùy chọn cấu hình sau được hỗ trợ cho PAM:
Tên dịch vụ PAM.
Lưu ý:Nếu PAM được thiết lập để đọc/etc/bóng, Xác kèo bóng đá pháp sẽ không thành công vì máy chủ PostgreSQL được khởi động bởi người dùng không root. Tuy nhiên, đây không phải là vấn đề khi PAM được cấu hình để sử dụng LDAP hoặc các phương thức xác kèo bóng đá pháp khác.