| PostgreSQL: kèo bóng đá hôm nay và | |||
|---|---|---|---|
| prev | UP | Chương 20. Xác kèo bóng đá euro khách hàng | NEXT |
Các tiểu mục sau đây mô tả các phương thức xác kèo bóng đá euro chi tiết hơn.
khiTrustXác kèo bóng đá euro được chỉ định,kèo bóng đá euroGiả sử rằng bất kỳ ai có thể kết nối với máy chủ đều được ủy quyền truy cập cơ sở dữ liệu với bất kỳ tên người dùng cơ sở dữ liệu nào mà họ chỉ định (thậm chí tên siêu âm). Tất nhiên, các hạn chế được kèo bóng đá euro hiện trongCơ sở dữ liệuvàuserCột vẫn áp dụng. kèo bóng đá euro pháp này chỉ nên được sử dụng khi có bảo vệ cấp hệ điều hành đầy đủ trên các kết nối với máy chủ.
TrustXác kèo bóng đá euro là phù hợp và rất thuận tiện cho các kết nối cục bộ trên máy trạm duy nhất của người dùng. Nó thường làkhôngThích hợp trên máy nhiều người. Tuy nhiên, bạn có thể sử dụngTrustNgay cả trên máy nhiều người, nếu bạn hạn chế quyền truy cập vào tệp ổ cắm miền đơn vị của máy chủ bằng cách sử dụng các quyền hệ thống tệp. Để làm điều này, đặtunix_socket_permissions(và có thểunix_socket_group) Tham số cấu hình như được mô tả trongPhần 19.3. Hoặc bạn có thể đặtunix_socket_directoriesTham số cấu hình để đặt tệp ổ cắm vào thư mục bị hạn chế phù hợp.
Thiết lập quyền hệ thống tệp chỉ giúp các kết nối ổ cắm unix. Các kết nối TCP/IP cục bộ không bị hạn chế bởi các quyền hệ thống tệp.Máy chủ ... 127.0.0.1 ...dòng từpg_hba.conf12639_12665TrustPhương pháp xác kèo bóng đá euro.
TrustXác kèo bóng đá euro chỉ phù hợp với các kết nối TCP/IP nếu bạn tin tưởng mọi người dùng trên mọi máy được phép kết nối với máy chủ bởipg_hba.confCác dòng chỉ địnhTrust. Thật hiếm khi hợp lý khi sử dụngTrustĐối với bất kỳ kết nối TCP/IP nào khác với các kết nối từLocalhost(127.0.0.1).
Các phương thức xác kèo bóng đá euro dựa trên mật khẩu làMD5vàMật khẩu. Các kèo bóng đá euro thức này hoạt động tương tự ngoại trừ cách mà mật khẩu được gửi qua kết nối, cụ thể là MD5 bị hỏng và văn bản rõ ràng.
Nếu bạn hoàn toàn quan tâm đến mật khẩu"Sniffing"tấn công sau đóMD5được ưa thích. Đơn giảnMật khẩunên luôn luôn tránh nếu có thể. Tuy nhiên,MD5Không thể được sử dụng vớidb_user_namespaceTính năng. Nếu kết nối được bảo vệ bởi mã hóa SSL thìMật khẩucó thể được sử dụng một cách an toàn (mặc dù xác kèo bóng đá euro chứng chỉ SSL có thể là lựa chọn tốt hơn nếu một người phụ thuộc vào việc sử dụng SSL).
kèo bóng đá euroMật khẩu cơ sở dữ liệu tách biệt với mật khẩu kèo bóng đá euro hệ điều hành. Mật khẩu cho mỗi kèo bóng đá euro cơ sở dữ liệu được lưu trữ trongpg_authidDanh mục hệ thống. Mật khẩu có thể được quản lý bằng các lệnh SQLTạo kèo bóng đá eurovàVai trò thay đổi, ví dụ:Tạo kèo bóng đá euro foo với mật khẩu 'bí mật'. Nếu không có mật khẩu nào được thiết lập cho người dùng, mật khẩu được lưu trữ là null và xác kèo bóng đá euro mật khẩu sẽ luôn thất bại cho người dùng đó.
GSSAPIlà một giao thức tiêu chuẩn công nghiệp để xác kèo bóng đá euro an toàn được xác định trong RFC 2743.kèo bóng đá euroHỗ trợGSSAPIvớiKerberosXác kèo bóng đá euro theo RFC 1964.GSSAPICung cấp xác kèo bóng đá euro tự động (đăng nhập một lần) cho các hệ thống hỗ trợ nó. Bản thân xác kèo bóng đá euro được bảo mật, nhưng dữ liệu được gửi qua kết nối cơ sở dữ liệu sẽ được gửi không được mã hóa trừ khiSSLđược sử dụng.
Hỗ trợ GSSAPI phải được bật khikèo bóng đá eurođược xây dựng; nhìn thấyChương 16Để biết thêm thông tin.
KhiGSSAPIsử dụngKerberos, nó sử dụng một hiệu trưởng tiêu chuẩn ở định dạngServiceName/tên máy chủ@Realm. Máy chủ PostgreSQL sẽ chấp nhận bất kỳ hiệu trưởng nào được bao gồm trong Keytab được sử dụng bởi máy chủ, nhưng cần phải cẩn thận để chỉ định các chi tiết chính kèo bóng đá euro khi tạo kết nối từ máy khách bằng cách sử dụngkrbsrvnameTham số kết nối. (Xem thêmPhần 32.1.2.) Mặc định cài đặt có thể được thay đổi từ mặc địnhPostgresTại thời điểm xây dựng bằng cách sử dụng./configure--with-krb-srvnam =bất cứ điều gì. Trong hầu hết các môi trường, tham số này không bao giờ cần phải thay đổi.Postgres).
tên máy chủlà tên máy chủ đủ điều kiện của máy chủ. Vương quốc của Hiệu trưởng dịch vụ là vương quốc ưa thích của máy chủ.
Hiệu trưởng khách hàng có thể được ánh xạ tới khác nhaukèo bóng đá euroTên kèo bóng đá euro cơ sở dữ liệu vớipg_ident.conf. Ví dụ,pgusername@realmcó thể được ánh xạ tới chỉpgusername. Ngoài ra, bạn có thể sử dụng đầy đủtên kèo bóng đá euro@realmHiệu trưởng là tên vai trò trongkèo bóng đá euroKhông có bất kỳ ánh xạ nào.
kèo bóng đá eurocũng hỗ trợ tham số để tước vương quốc khỏi hiệu trưởng. kèo bóng đá euro pháp này được hỗ trợ để tương thích ngược và không được khuyến khích mạnh mẽ vì sau đó không thể phân biệt người dùng khác nhau với cùng tên người dùng nhưng đến từ các cõi khác nhau.bao gồm_realmđến 0. Đối với các cài đặt đơn kèo bóng đá euro đơn giản, kèo bóng đá euro hiện điều đó kết hợp với cài đặtKRB_REALMtham số (kiểm tra xem vương quốc của hiệu trưởng có phù hợp chính kèo bóng đá euro trongKRB_REALMtham số) vẫn an toàn; Nhưng đây là một cách tiếp cận ít khả năng hơn so với việc chỉ định một ánh xạ rõ ràng trongpg_ident.conf.
Đảm bảo rằng tệp keytab máy chủ của bạn có thể đọc được (và tốt nhất là chỉ có thể đọc được, không thể ghi) bởikèo bóng đá euroTài khoản máy chủ. (Xem thêmPhần 18.1.) Vị trí của tệp khóa được chỉ định bởiKRB_SERVER_KEYFILETham số cấu hình. Mặc định là/usr/local/pgsql/etc/krb5.keytab(hoặc bất kỳ thư mục nào được chỉ định làsysconfdirTại thời điểm xây dựng). Vì lý do bảo mật, nên sử dụng một keytab riêng biệt chỉ chokèo bóng đá euroMáy chủ thay vì mở các quyền trên tệp keytab hệ thống.
Tệp keytab được tạo bởi phần mềm Kerberos; Xem tài liệu Kerberos để biết chi tiết.
Kadmin%Ank -randkey postgres/server.my.domain.org Kadmin%KTADD -K KRB5.KEYTAB POSTGRES/server.my.domain.org
Khi kết nối với cơ sở dữ liệu, hãy đảm bảo bạn có một vé cho một hiệu trưởng khớp tên kèo bóng đá euro cơ sở dữ liệu được yêu cầu. Ví dụ: cho tên kèo bóng đá euro cơ sở dữ liệuFred, Hiệu trưởngfred@example.comsẽ có thể kết nối. Cũng cho phép Hiệu trưởngfred/users.example.com@example.com, Sử dụng bản đồ tên kèo bóng đá euro, như được mô tả trongPhần 20.2.
Các tùy chọn cấu hình sau được hỗ trợ choGSSAPI:
Nếu được đặt thành 0, tên vương quốc từ hiệu trưởng người dùng được xác kèo bóng đá euro bị loại bỏ trước khi được truyền qua ánh xạ tên người dùng (Phần 20.2). Điều này không được khuyến khích và chủ yếu có sẵn để tương thích ngược, vì nó không an toàn trong môi trường đa kèo bóng đá euro tế trừ khiKRB_REALMcũng được sử dụng. Nó được khuyến nghị để lạibao gồm_realmĐặt thành mặc định (1) và để cung cấp ánh xạ rõ ràng trongpg_ident.confĐể chuyển đổi tên chính thànhkèo bóng đá euroTên kèo bóng đá euro.
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 20.2Để biết chi tiết. Đối với hiệu trưởng GSSAPI/Kerberos, chẳng hạn nhưusername@example.com(hoặc, ít phổ biến hơn,20830_20862), tên kèo bóng đá euro được sử dụng để ánh xạ làusername@example.com(hoặcusername/hostbasing@example.com, tương ứng), trừ khibao gồm_realmđã được đặt thành 0, trong trường hợp đótên kèo bóng đá euro(hoặctên kèo bóng đá euro/hostbased) là những gì được xem là tên kèo bóng đá euro hệ thống khi ánh xạ.
Đặt vương quốc để phù hợp với tên chính của kèo bóng đá euro với. Nếu tham số này được đặt, chỉ kèo bóng đá euro của vương quốc đó sẽ được chấp nhận.
SSPIlà mộtWindowsCông nghệ xác kèo bóng đá euro an toàn với đăng nhập một lần.kèo bóng đá euroSẽ sử dụng SSPI trongĐàm phánMODE, sẽ sử dụngKerberosKhi có thể và tự động quay trở lạiNTLMTrong các trường hợp khác.SSPIXác kèo bóng đá euro chỉ hoạt động khi cả máy chủ và máy khách đang chạyWindowshoặc, trên các nền tảng không phải Windows, khiGSSAPIcó sẵn.
Khi sử dụngKerberosXác kèo bóng đá euro,SSPIhoạt động theo cùng một cáchGSSAPIkhông; nhìn thấyPhần 20.3.3Để biết chi tiết.
Các tùy chọn cấu hình sau được hỗ trợ choSSPI:
Nếu được đặt thành 0, tên Realm từ hiệu trưởng người dùng được xác kèo bóng đá euro bị loại bỏ trước khi được truyền qua ánh xạ tên người dùng (Phần 20.2). Điều này không được khuyến khích và chủ yếu có sẵn để tương thích ngược, vì nó không an toàn trong môi trường đa kèo bóng đá euro tế trừ khiKRB_REALMcũng được sử dụng. Nó được khuyến nghị để lạibao gồm_realmĐặt thành mặc định (1) và để cung cấp ánh xạ rõ ràng trongpg_ident.confĐể chuyển đổi tên chính thànhkèo bóng đá euroTên kèo bóng đá euro.
Nếu được đặt thành 1, tên tương thích SAM của miền (còn được gọi là tên NetBIOS) được sử dụng chobao gồm_realmTùy chọn. Đây là mặc định.
Không vô hiệu hóa tùy chọn này trừ khi máy chủ của bạn chạy trong tài khoản miền (điều này bao gồm các tài khoản dịch vụ ảo trên hệ thống thành viên tên miền) và tất cả các máy khách xác kèo bóng đá euro thông qua SSPI cũng đang sử dụng tài khoản miền hoặc xác kèo bóng đá euro sẽ không thành công.
Nếu tùy chọn này được bật cùng vớicompat_realm, Tên người dùng từ Kerberos UPN được sử dụng để xác kèo bóng đá euro. Nếu nó bị vô hiệu hóa (mặc định), tên người dùng tương thích SAM được sử dụng.
Lưu ý rằnglibpqSử dụng tên tương thích SAM nếu không có tên kèo bóng đá euro rõ ràng được chỉ định. Nếu bạn sử dụnglibpqhoặc trình điều khiển dựa trên nó, bạn nên để tùy chọn này bị vô hiệu hóa hoặc chỉ định rõ ràng tên kèo bóng đá euro trong chuỗi kết nối.
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 20.2Để biết chi tiết. Đối với hiệu trưởng SSPI/Kerberos, chẳng hạn nhưusername@example.com(hoặc, ít phổ biến hơn,username/hostbasing@example.com), tên kèo bóng đá euro được sử dụng để ánh xạ làusername@example.com(hoặcusername/hostbasing@example.com, tương ứng), trừ khibao gồm_realmđã được đặt thành 0, trong trường hợp đótên kèo bóng đá euro(hoặctên kèo bóng đá euro/hostbased) là những gì được xem là tên kèo bóng đá euro hệ thống khi ánh xạ.
Đặt vương quốc để phù hợp với tên chính của kèo bóng đá euro với. Nếu tham số này được đặt, chỉ kèo bóng đá euro của vương quốc đó sẽ được chấp nhận.
Phương thức xác kèo bóng đá euro nhận dạng hoạt động bằng cách lấy tên người dùng hệ điều hành của máy khách từ máy chủ nhận dạng và sử dụng nó làm tên người dùng cơ sở dữ liệu được phép (với ánh xạ tên người dùng tùy chọn). Điều này chỉ được hỗ trợ trên các kết nối TCP/IP.
Lưu ý:Khi nhận dạng được chỉ định cho kết nối cục bộ (không TCP/IP), xác kèo bóng đá euro ngang hàng (xemPhần 20.3.6) sẽ được sử dụng thay thế.
Các tùy chọn cấu hình sau được hỗ trợ choNhận dạng:
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 20.2Để biết chi tiết.
The"Giao thức nhận dạng"được mô tả trong RFC 1413. Hầu như mọi hệ điều hành giống như UNIX đều vận chuyển với một máy chủ nhận dạng lắng nghe trên cổng TCP 113 theo mặc định. Chức năng cơ bản của máy chủ nhận dạng là trả lời các câu hỏi như"kèo bóng đá euro nào đã bắt đầu kết nối ra khỏi cổng của bạnxvà kết nối với cổng của tôiY? ". Từkèo bóng đá eurobiết cảxvàYKhi kết nối vật lý được thiết lập, nó có thể thẩm vấn máy chủ nhận dạng trên máy chủ của máy khách kết nối và về mặt lý thuyết kèo bóng đá euro hệ điều hành cho bất kỳ kết nối nào.
Hạn chế của quy trình này là nó phụ thuộc vào tính toàn vẹn của máy khách: Nếu máy khách không được tin tưởng hoặc bị xâm phạm, kẻ tấn công có thể chạy bất kỳ chương trình nào trên cổng 113 và trả về bất kỳ tên người dùng nào họ chọn. Do đó, phương pháp xác kèo bóng đá euro này chỉ phù hợp với các mạng đóng trong đó mỗi máy khách được kiểm soát chặt chẽ và nơi cơ sở dữ liệu và quản trị viên hệ thống hoạt động tiếp xúc chặt chẽ.
|
Giao thức nhận dạng không được dự định là giao thức ủy quyền hoặc kiểm soát truy cập. |
||
| --RFC 1413 | ||
Một số máy chủ nhận dạng có tùy chọn không đạt tiêu chuẩn khiến tên kèo bóng đá euro được trả về được mã hóa, sử dụng khóa mà chỉ có quản trị viên của máy gốc biết. Tùy chọn nàykhông đượcĐược sử dụng khi sử dụng máy chủ nhận dạng vớikèo bóng đá euro, kể từkèo bóng đá euroKhông có cách nào để giải mã chuỗi được trả về để xác định tên người dùng kèo bóng đá euro tế.
Phương thức xác kèo bóng đá euro ngang hàng hoạt động bằng cách lấy tên người dùng hệ điều hành của máy khách từ kernel và sử dụng nó làm tên người dùng cơ sở dữ liệu được phép (với ánh xạ tên người dùng tùy chọn). Phương thức này chỉ được hỗ trợ trên các kết nối cục bộ.
Các tùy chọn cấu hình sau được hỗ trợ choPeer:
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 20.2Để biết chi tiết.
Xác kèo bóng đá euro ngang hàng chỉ có sẵn trên các hệ điều hành cung cấpgetpeereid ()chức năng,SO_PEERCREDTham số ổ cắm hoặc các cơ chế tương tự. Hiện tại bao gồmLinux, Hầu hết các hương vị củaBSDbao gồmOS XvàSolaris.
Phương thức xác kèo bóng đá euro này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng LDAP làm phương thức xác minh mật khẩu. LDAP chỉ được sử dụng để xác kèo bóng đá euro các cặp tên người dùng/mật khẩu.
Xác kèo bóng đá euro LDAP có thể hoạt động ở hai chế độ. Trong chế độ đầu tiên, chúng ta sẽ gọi chế độ liên kết đơn giản, máy chủ sẽ liên kết với tên phân biệt được xây dựng làtiền tố tên kèo bóng đá euro Hậu tố. Thông thường,tiền tốTham số được sử dụng để chỉ địnhCN =hoặcDOMAIN\Trong môi trường Active Directory.Hậu tốđược sử dụng để chỉ định phần còn lại của DN trong môi trường thư mục không hoạt động.
Trong chế độ thứ hai, chúng tôi sẽ gọi chế độ tìm kiếm+liên kết, máy chủ đầu tiên liên kết với thư mục LDAP với tên kèo bóng đá euro và mật khẩu cố định, được chỉ định vớildapbinddnvàldapbindpasswd, và kèo bóng đá euro hiện tìm kiếm người dùng đang cố gắng đăng nhập vào cơ sở dữ liệu. Nếu không có người dùng và mật khẩu được cấu hình, một liên kết ẩn danh sẽ được thử đến thư mục.ldapbasingn, và sẽ cố gắng kèo bóng đá euro hiện một kết hợp chính xác của thuộc tính được chỉ định trongLdapSearchAttribution. Khi người dùng đã được tìm thấy trong tìm kiếm này, máy chủ sẽ ngắt kết nối và liên kết lại với thư mục như người dùng này, sử dụng mật khẩu do máy khách chỉ định, để kèo bóng đá euro minh rằng đăng nhập là chính kèo bóng đá euro.MOD_AUTHNZ_LDAPvàPAM_LDAP. kèo bóng đá euro pháp này cho phép linh hoạt hơn đáng kể trong đó các đối tượng người dùng được đặt trong thư mục, nhưng sẽ khiến hai kết nối riêng biệt với máy chủ LDAP được tạo.
Các tùy chọn cấu hình sau được sử dụng trong cả hai chế độ:
Tên hoặc địa chỉ IP của máy chủ LDAP để kết nối. Nhiều máy chủ có thể được chỉ định, được phân tách bằng khoảng trắng.
Số cổng trên máy chủ LDAP để kết nối. Nếu không có cổng nào được chỉ định, cài đặt cổng mặc định của thư viện LDAP sẽ được sử dụng.
Đặt thành 1 để tạo kết nối giữa kèo bóng đá euro và máy chủ LDAP sử dụng mã hóa TLS. Lưu ý rằng điều này chỉ mã hóa lưu lượng truy cập vào máy chủ LDAP - kết nối với máy khách vẫn sẽ không được mã hóa trừ khi SSL được sử dụng.
Các tùy chọn sau chỉ được sử dụng ở chế độ liên kết đơn giản:
33055_33162
Chuỗi nối vào tên người dùng khi tạo DN để liên kết AS, khi kèo bóng đá euro hiện xác kèo bóng đá euro liên kết đơn giản.
Các tùy chọn sau chỉ được sử dụng trong chế độ tìm kiếm+liên kết:
root DN để bắt đầu tìm kiếm người dùng, khi kèo bóng đá euro hiện tìm kiếm+xác kèo bóng đá euro liên kết.
DN của người dùng để liên kết với thư mục để kèo bóng đá euro hiện tìm kiếm khi kèo bóng đá euro hiện xác kèo bóng đá euro tìm kiếm+liên kết.
Mật khẩu cho người dùng liên kết với thư mục với để kèo bóng đá euro hiện tìm kiếm khi kèo bóng đá euro hiện xác kèo bóng đá euro tìm kiếm+liên kết.
thuộc tính để khớp với tên người dùng trong tìm kiếm khi kèo bóng đá euro hiện xác kèo bóng đá euro tìm kiếm+liên kết. Nếu không có thuộc tính nào được chỉ định,UIDthuộc tính sẽ được sử dụng.
URL LDAP RFC 4516 LDAP. Đây là một cách khác để viết một số tùy chọn LDAP khác ở dạng nhỏ gọn và tiêu chuẩn hơn.
LDAP: //host[:Cổng]/dựa trên[? [thuộc tính] [? [Phạm vi]]]
Phạm viphải là một trongcơ sở, một, sub, Thông thường cái sau. Chỉ có một thuộc tính được sử dụng và một số thành phần khác của các URL LDAP tiêu chuẩn như bộ lọc và tiện ích mở rộng không được hỗ trợ.
Đối với các ràng buộc không ẩn danh,ldapbinddnvàldapbindpasswdphải được chỉ định là tùy chọn riêng biệt.
Để sử dụng các kết nối LDAP được mã hóa,ldaptlsTùy chọn phải được sử dụng ngoàildapurl. TheLDAPSSơ đồ URL (Kết nối SSL trực tiếp) không được hỗ trợ.
URL LDAP hiện chỉ được hỗ trợ với OpenLDAP, không phải trên Windows.
Đó là lỗi khi trộn các tùy chọn cấu hình cho liên kết đơn giản với các tùy chọn cho tìm kiếm+liên kết.
Đây là một ví dụ cho cấu hình LDAP Bind đơn giản:
35594_35688
Khi kết nối với máy chủ cơ sở dữ liệu dưới dạng kèo bóng đá euro cơ sở dữ liệuSOOMUSERđược yêu cầu, kèo bóng đá euro sẽ cố gắng liên kết với máy chủ LDAP bằng DNcn = someuser, dc = example, dc = netvà mật khẩu do khách hàng cung cấp. Nếu kết nối đó thành công, truy cập cơ sở dữ liệu được cấp.
Đây là một ví dụ cho cấu hình tìm kiếm+liên kết:
36116_36215
Khi kết nối với máy chủ cơ sở dữ liệu dưới dạng kèo bóng đá euro cơ sở dữ liệuSomeUserđược yêu cầu, kèo bóng đá euro sẽ cố gắng liên kết ẩn danh (kể từldapbinddnkhông được chỉ định) cho máy chủ LDAP, kèo bóng đá euro hiện tìm kiếm(uid = someuser)Theo cơ sở được chỉ định DN. Nếu một mục được tìm thấy, sau đó nó sẽ cố gắng liên kết bằng cách sử dụng thông tin được tìm thấy và mật khẩu do khách hàng cung cấp.
Đây là cùng một tìm kiếm+cấu hình liên kết được viết dưới dạng URL:
36834_36909
Một số phần mềm khác hỗ trợ xác kèo bóng đá euro đối với LDAP sử dụng cùng một định dạng URL, do đó sẽ dễ dàng chia sẻ cấu hình hơn.
Tip:Vì LDAP thường sử dụng dấu phẩy và không gian để tách các phần khác nhau của DN, nên thường cần sử dụng các giá trị tham số được trích xuất kép khi định cấu hình các tùy chọn LDAP, như trong các ví dụ.
Phương thức xác kèo bóng đá euro này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng RADIUS làm phương thức xác minh mật khẩu. RADIUS chỉ được sử dụng để xác kèo bóng đá euro các cặp tên người dùng/mật khẩu.
Khi sử dụng xác kèo bóng đá euro RADIUS, thông báo yêu cầu truy cập sẽ được gửi đến máy chủ RADIUS được định cấu hình. Yêu cầu này sẽ thuộc loạiChỉ xác kèo bóng đá eurovà bao gồm các tham số choTên kèo bóng đá euro, Mật khẩu(được mã hóa) vàĐịnh danh NAS. Yêu cầu sẽ được mã hóa bằng cách sử dụng bí mật được chia sẻ với máy chủ.Access Accepthoặctừ chối truy cập. Không có hỗ trợ cho kế toán bán kính.
Các tùy chọn cấu hình sau được hỗ trợ cho bán kính:
Tên hoặc địa chỉ IP của máy chủ RADIUS để kết nối với. Tham số này là bắt buộc.
Bí mật được chia sẻ được sử dụng khi nói chuyện an toàn với máy chủ RADIUS. Điều này phải có chính kèo bóng đá euro cùng một giá trị trên các máy chủ PostgreSQL và RADIUS.
Lưu ý:vectơ mã hóa được sử dụng sẽ chỉ mạnh về mặt mật mã nếukèo bóng đá eurođược xây dựng với sự hỗ trợ choOpenSSL. Trong các trường hợp khác, việc truyền vào máy chủ RADIUS chỉ nên được coi là bị che khuất, không được bảo đảm và các biện pháp bảo mật bên ngoài nên được áp dụng nếu cần thiết.
Số cổng trên máy chủ RADIUS để kết nối. Nếu không có cổng nào được chỉ định, cổng mặc định1812sẽ được sử dụng.
Chuỗi được sử dụng làmĐịnh danh NASTrong các yêu cầu bán kính. Tham số này có thể được sử dụng như một tham số thứ hai xác định ví dụ, người dùng cơ sở dữ liệu mà người dùng đang cố gắng xác kèo bóng đá euro là, có thể được sử dụng để khớp chính sách trên máy chủ RADIUS.kèo bóng đá eurosẽ được sử dụng.
Phương thức xác kèo bóng đá euro này sử dụng chứng chỉ máy khách SSL để kèo bóng đá euro hiện xác kèo bóng đá euro. Do đó, nó chỉ có sẵn cho các kết nối SSL.CN(Tên chung) Thuộc tính của chứng chỉ sẽ được so sánh với tên kèo bóng đá euro cơ sở dữ liệu được yêu cầu và nếu chúng khớp, đăng nhập sẽ được cho phép. Ánh xạ tên kèo bóng đá euro có thể được sử dụng để cho phépCNĐể khác với tên kèo bóng đá euro cơ sở dữ liệu.
Các tùy chọn cấu hình sau được hỗ trợ để xác kèo bóng đá euro chứng chỉ SSL:
Cho phép ánh xạ giữa tên kèo bóng đá euro hệ thống và cơ sở dữ liệu. Nhìn thấyPhần 20.2Để biết chi tiết.
trong Apg_hba.confBản ghi xác kèo bóng đá euro chứng chỉ chỉ định, tùy chọn xác kèo bóng đá euroclientCertđược coi là1và không thể tắt vì chứng chỉ máy khách là cần thiết cho kèo bóng đá euro thức này. Cái gìcertkèo bóng đá euro thức thêm vào cơ bảnclientCertKiểm tra tính hợp lệ của chứng chỉ là kiểm tra xemCNthuộc tính khớp với tên kèo bóng đá euro cơ sở dữ liệu.
Phương thức xác kèo bóng đá euro này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng PAM (mô -đun xác kèo bóng đá euro có thể cắm) làm cơ chế xác kèo bóng đá euro. Tên dịch vụ PAM mặc định làkèo bóng đá euro. PAM chỉ được sử dụng để xác kèo bóng đá euro các cặp tên người dùng/mật khẩu và tùy chọn tên máy chủ từ xa được kết nối hoặc địa chỉ IP.Linux-pamtrang.
Các tùy chọn cấu hình sau được hỗ trợ cho PAM:
Tên dịch vụ PAM.
kèo bóng đá euro định xem địa chỉ IP từ xa hay tên máy chủ được cung cấp cho các mô -đun PAM thông quapam_rhostMục. Theo mặc định, địa chỉ IP được sử dụng.
Lưu ý:Nếu PAM được thiết lập để đọc/etc/bóng, Xác kèo bóng đá euro sẽ không thành công vì máy chủ PostgreSQL được khởi động bởi người dùng không root. Tuy nhiên, đây không phải là vấn đề khi PAM được cấu hình để sử dụng LDAP hoặc các phương thức xác kèo bóng đá euro khác.
Phương thức xác kèo bóng đá euro này hoạt động tương tự nhưMật khẩuNgoại trừ việc nó sử dụng xác kèo bóng đá euro BSD để xác minh mật khẩu. Xác kèo bóng đá euro BSD chỉ được sử dụng để xác nhận các cặp tên người dùng/mật khẩu.
Xác kèo bóng đá euro BSD trongkèo bóng đá eurosử dụngauth-kèo bóng đá euroLoại đăng nhập và xác kèo bóng đá euro vớikèo bóng đá euroLớp đăng nhập nếu được kèo bóng đá euro định tronglogin.conf. Theo mặc định rằng lớp đăng nhập không tồn tại vàkèo bóng đá euroSẽ sử dụng lớp đăng nhập mặc định.
Lưu ý:Để sử dụng xác kèo bóng đá euro BSD, tài khoản người dùng PostgreSQL (nghĩa là người dùng hệ điều hành chạy máy chủ) trước tiên phải được thêm vàoauthNhóm. TheauthNhóm tồn tại theo mặc định trên các hệ thống OpenBSD.