GSSAPI 是一种行业标准的用于安全认证的协议,定义在 RFC 2743 中。PostgreSQL 支持使用 GSSAPI 进行认证、通信加密或两者兼有。GSSAPI 为支持它的系统提供自动认证(单点登录)。认证本身是安全的。如果使用 GSSAPI 加密或SSL加密,则沿数据库连接发送的数据将被加密;否则,它将不会被加密。
当构建 PostgreSQL 时,必须启用 GSSAPI 支持;有关更多信息,请参见 第 17 章。
当 GSSAPI 使用 Kerberos 时,它使用标准的服务主体(认证身份)名称,格式为 servicename/hostname@realm
连接时,客户端必须知道它打算连接的服务器的主体名称。主体的 servicename 部分通常是 postgres,但可以通过 libpq 的 krbsrvname 连接参数选择另一个值。hostname 部分是 libpq 被告知要连接的完全限定主机名。领域名称是客户端可访问的 Kerberos 配置文件中指定的首选领域。
客户端也将拥有其自身身份的主体名称(并且它必须拥有此主体的有效票证)。要使用 GSSAPI 进行认证,客户端主体必须与 PostgreSQL 数据库用户名关联。pg_ident.conf 配置文件可用于将主体映射到用户名;例如,pgusername@realm 可以映射到仅 pgusername。或者,您可以使用完整的 username@realm 主体作为 PostgreSQL 中的角色名称,无需任何映射。
PostgreSQL 还支持仅通过从主体中剥离领域来将客户端主体映射到用户名。此方法支持向后兼容,并且强烈建议不要使用,因为它无法区分具有相同用户名但来自不同领域的不同用户。要启用此功能,请将 include_realm 设置为 0。对于简单的单领域安装,这样做与设置 krb_realm 参数(该参数检查主体的领域是否与 krb_realm 参数中的内容完全匹配)相结合仍然是安全的;但这与在 pg_ident.conf 中指定显式映射相比,是一种能力较弱的方法。
服务器的 keytab 文件的位置由 krb_server_keyfile 配置参数指定。出于安全原因,建议仅为 PostgreSQL 服务器使用单独的 keytab,而不是允许服务器读取系统 keytab 文件。请确保 PostgreSQL 服务器帐户可以读取(最好只能读取,不能写入)您的服务器 keytab 文件。(另请参见 第 18.1 节。)
keytab 文件是使用 Kerberos 软件生成的;有关详细信息,请参见 Kerberos 文档。以下示例显示了使用 MIT Kerberos 的 kadmin 工具执行此操作
kadmin%addprinc -randkey postgres/server.my.domain.orgkadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
以下身份验证选项支持 GSSAPI 身份验证方法
include_realm如果设置为 0,则在通过用户名映射(第 20.2 节)传递之前,将从经过身份验证的用户主体中剥离领域名称。不建议这样做,并且主要用于向后兼容,因为它在多领域环境中不安全,除非也使用 krb_realm。建议将 include_realm 设置为默认值 (1),并在 pg_ident.conf 中提供显式映射,以将主体名称转换为 PostgreSQL 用户名。
map允许从客户端主体映射到数据库用户名。有关详细信息,请参见 第 20.2 节。对于 GSSAPI/Kerberos 主体,例如 [email protected](或不太常见的 username/[email protected]),用于映射的用户名是 [email protected](或分别是 username/[email protected]),除非 include_realm 已设置为 0,在这种情况下,username(或 username/hostbased)在映射时被视为系统用户名。
krb_realm设置要与用户主体名称匹配的领域。如果设置此参数,则只接受该领域的用户。如果未设置此参数,则任何领域的用户都可以连接,具体取决于所做的用户名映射。
除了这些设置(对于不同的 pg_hba.conf 条目可能会有所不同)之外,还有一个服务器范围的 krb_caseins_users 配置参数。如果设置为 true,则客户端主体将不区分大小写地与用户映射条目匹配。如果设置了 krb_realm,也会不区分大小写地匹配。
如果您在文档中发现任何不正确、与您使用特定功能的体验不符或需要进一步澄清的内容,请使用此表单报告文档问题。