PostgreSQL 还原生支持使用GSSAPI来加密客户端/服务器通信,以增强安全性。此支持要求客户端和服务器系统上都安装了GSSAPI实现(例如 MIT Kerberos),并且在构建时启用了 PostgreSQL 中的支持(请参阅第 17 章)。
PostgreSQL 服务器将侦听同一 TCP 端口上的普通连接和GSSAPI加密连接,并将与任何连接的客户端协商是否使用GSSAPI进行加密(以及进行身份验证)。默认情况下,此决定取决于客户端(这意味着它可能会被攻击者降级);请参阅第 20.1 节,了解如何设置服务器以要求对某些或所有连接使用GSSAPI。
当使用GSSAPI进行加密时,通常也会使用GSSAPI进行身份验证,因为无论如何,底层机制都会确定客户端和服务器的身份(根据GSSAPI实现)。但这并非必须;可以选择另一种 PostgreSQL 身份验证方法来执行额外的验证。
除了协商行为的配置之外,GSSAPI加密不需要超出 GSSAPI 身份验证所需的设置。(有关配置的更多信息,请参阅第 20.6 节。)
如果您在文档中发现任何不正确、与您使用特定功能的经验不符或需要进一步澄清的内容,请使用此表单报告文档问题。