此身份验证方法与 password 类似,只是它使用 RADIUS 作为密码验证方法。RADIUS 仅用于验证用户名/密码对。因此,用户必须在数据库中已存在才能使用 RADIUS 进行身份验证。
使用 RADIUS 身份验证时,将向配置的 RADIUS 服务器发送一个访问请求消息。此请求的类型为 仅身份验证,并包含 用户名、密码(加密)和 NAS 标识符的参数。请求将使用与服务器共享的密钥进行加密。RADIUS 服务器将以 访问接受 或 访问拒绝 来响应此请求。不支持 RADIUS 计费。
可以指定多个 RADIUS 服务器,在这种情况下,它们将按顺序尝试。如果从服务器收到负面响应,则身份验证将失败。如果未收到响应,将尝试列表中的下一个服务器。要指定多个服务器,请使用逗号分隔服务器名称,并用双引号将列表括起来。如果指定了多个服务器,则其他 RADIUS 选项也可以作为逗号分隔的列表给出,以便为每个服务器提供单独的值。它们也可以指定为单个值,在这种情况下,该值将应用于所有服务器。
RADIUS 支持以下配置选项
radiusservers要连接的 RADIUS 服务器的 DNS 名称或 IP 地址。此参数是必需的。
radiussecrets与 RADIUS 服务器安全通信时使用的共享密钥。这在 PostgreSQL 和 RADIUS 服务器上必须具有完全相同的值。建议此字符串至少为 16 个字符。此参数是必需的。
只有在 PostgreSQL 构建时支持 OpenSSL 时,所使用的加密向量才具有加密强度。在其他情况下,传输到 RADIUS 服务器的内容应仅被视为模糊处理,而不是安全的,如果需要,应采取外部安全措施。
radiusports要连接到 RADIUS 服务器的端口号。如果未指定端口,则将使用默认的 RADIUS 端口 (1812)。
radiusidentifiers在 RADIUS 请求中用作 NAS 标识符的字符串。例如,可以使用此参数来标识用户尝试连接的数据库集群,这对于 RADIUS 服务器上的策略匹配很有用。如果未指定标识符,则将使用默认的 postgresql。
如果需要在 RADIUS 参数值中使用逗号或空格,可以通过在值周围加上双引号来实现,但这很繁琐,因为现在需要两层双引号。在 RADIUS 密钥字符串中加入空格的示例如下
host ... radius radiusservers="server1,server2" radiussecrets="""secret one"",""secret two"""
如果您发现文档中有任何不正确、与您特定功能的体验不符或需要进一步说明的地方,请使用此表格报告文档问题。