ident 认证方法通过从 ident 服务器获取客户端的操作系统用户名,并将其用作允许的数据库用户名(带有可选的用户名映射)。这仅在 TCP/IP 连接上受支持。
当为本地(非 TCP/IP)连接指定 ident 时,将改为使用对等身份验证(请参见第 20.9 节)。
以下配置选项支持 ident:
map允许在系统和数据库用户名之间进行映射。有关详细信息,请参阅第 20.2 节。
“标识协议”在 RFC 1413 中描述。几乎每个类 Unix 操作系统都附带一个默认监听 TCP 端口 113 的 ident 服务器。ident 服务器的基本功能是回答诸如 “哪个用户发起了从你的端口 X 发出并连接到我的端口 Y 的连接?” 之类的问题。由于 PostgreSQL 在建立物理连接时知道 X 和 Y,它可以询问连接客户端主机上的 ident 服务器,并且理论上可以确定任何给定连接的操作系统用户。
此过程的缺点是它依赖于客户端的完整性:如果客户端机器不受信任或已泄露,攻击者可以在端口 113 上运行几乎任何程序并返回他们选择的任何用户名。因此,此身份验证方法仅适用于每个客户端机器都受到严格控制且数据库和系统管理员密切合作的封闭网络。换句话说,您必须信任运行 ident 服务器的机器。请注意警告
|
标识协议不打算作为授权或访问控制协议。 |
||
| --RFC 1413 | ||
一些 ident 服务器具有一个非标准选项,该选项会导致返回的用户名被加密,使用只有源计算机的管理员才知道的密钥。当将 ident 服务器与 PostgreSQL 一起使用时,绝不能使用此选项,因为 PostgreSQL 没有任何方法解密返回的字符串以确定实际的用户名。
如果您在文档中发现任何不正确的内容,与特定功能的使用体验不符,或需要进一步澄清,请使用此表单报告文档问题。