PostgreSQL GSSAPI 认证

GSSAPI是用于 RFC 2743 中定义的安全认证的一个工业标准协议。 PostgreSQL根据 RFC 1964 支持带Kerberos认证的GSSAPI。 GSSAPI为支持它的系统提供自动认证（单点登录）。 认证本身是安全的，但通过数据库连接发送的数据将不被加密，除非使用SSL。 PostgreSQL支持GSSAPI用于加密、认证层或仅用于认证。 GSSAPI 提供自动认证(single sign-on单点登录) 给支持该功能的系统。认证本身是安全的。 如果使用了GSSAPI 加密(参见 hostgssenc) 或SSL 加密, 数据库连接发送的数据将被加密，否则将不加密。

当编译PostgreSQL时，GSSAPI 支持必须被启用，详见第 16 章。

当GSSAPI使用Kerberos时， 它会使用格式为 servicename /hostname@realm 的标准 principal。 PostgreSQL服务器将接受该服务器所使用的 keytab 中包括的任何 principal，但是在从使用 krbsrvname连接参数的客户端建立连接时要注意指定正确的 principal 细节（另见 第 33.1.2 节）。安装的默认值 postgres可以在编译时使用 ./configure --with-krb-srvnam=其他值修改。 在大部分的环境中，这个参数从不需要被更改。某些 Kerberos 实现可能要求一个不同的服务名， 例如 Microsoft Active Directory 要求服务名是大写形式（POSTGRES）。

hostname是服务器机器的被完全限定的主机名。服务 principal 的 realm 是该服务器机器的首选 realm。

客户端 principal 可以被通过pg_ident.conf映射到不同的 PostgreSQL数据库用户名。例如， pgusername@realm可能会被映射到pgusername。 或者，你可以使用完整的username@realm当事人作为 PostgreSQL中的角色而无需任何映射。

PostgreSQL也支持一个参数把 realm 从 principal 中剥离。这种方法是为了向后兼容性，并且我们强烈反对使用它，因为这样就无法区分具有相同用户名却来自不同 realm 的不同用户了。要启用这种方法，可将include_realm设置为 0。对于简单的单 realm 安装，这样做并且设置krb_realm参数（这会检查 principal 的 realm 是否正好匹配krb_realm中的参数）仍然是安全的。但比起在pg_ident.conf中指定一个显式映射来说，这种方法的能力较低。

确认你的服务器的 keytab 文件是可以被PostgreSQL服务器帐 户读取的（最好是只读的） (又见第 18.1 节）。密钥文件的位置由配置 参数krb_server_keyfile指定。默认是 /usr/local/pgsql/etc/krb5.keytab（或者任何在编译的时候作为sysconfdir的目录）。 出于安全原因，推荐对PostgreSQL服务器使用一个独立 的 keytab而不是开放系统 keytab 文件的权限。

keytab 文件由 Kerberos 软件生成，详见 Kerberos 文档。下面是 MIT 兼容的 Kerberos 5 实现的例子：

kadmin% ank -randkey postgres/server.my.domain.org
kadmin% ktadd -k krb5.keytab postgres/server.my.domain.org

当连接到数据库时，确保你有一个匹配被请求数据库用户名的 principal 的票据。例如，对于数据库用户名fred，principal fred@EXAMPLE.COM将能够连接。要也允许 principal fred/users.example.com@EXAMPLE.COM，可使用一个用户名映射，如第 20.2 节中所述。

下列被支持的配置选项用于GSSAPI：