Безопасные соединения TCP/IP с преобразованием GSSAPI
Эта страница переведена при помощи нейросети GigaChat.
PostgreSQL также имеет встроенную поддержку использования GSSAPI для преобразования связи между клиентом и сервером для повышения безопасности. Поддержка требует, чтобы реализация GSSAPI (например, MIT Kerberos) была установлена как на клиентской, так и на серверной системах, а поддержка в PostgreSQL включена во время сборки.
Основная настройка
Сервер PostgreSQL будет принимать как обычные, так и преобразованные с помощью GSSAPI соединения на одном и том же порту TCP и будет вести переговоры с любым подключающимся клиентом о том, использовать ли GSSAPI для преобразования (и для аутентификации). По умолчанию это решение принимает клиент (что означает, что оно может быть понижено атакующим); см. раздел Файл pg_hba.conf о настройке сервера для требования использования GSSAPI для некоторых или всех соединений.
При использовании GSSAPI для преобразования обычно используется GSSAPI и для аутентификации, поскольку лежащий в основе механизм будет определять идентификаторы клиента и сервера (в соответствии с реализацией GSSAPI) в любом случае. Но это не обязательно; можно выбрать другой метод аутентификации PostgreSQL, чтобы выполнить дополнительную проверку.
Помимо настройки поведения переговоров, GSSAPI-преобразование требует настройки, которая необходима для аутентификации GSSAPI. (Для получения дополнительной информации о настройке см. раздел Аутентификация GSSAPI).