GSSAPI 是 RFC 2743 中定义的安全身份验证行业标准协议。PostgreSQL 支持 GSSAPI 进行身份验证、通信加密或两者兼而有之。GSSAPI 为支持它的系统提供自动身份验证(单点登录)。身份验证本身是安全的。如果使用 GSSAPI 加密或 SSL 加密,则通过数据库连接发送的数据将被加密;否则,将不会加密。
在构建 PostgreSQL 时必须启用 GSSAPI 支持;有关详细信息,请参见第 17 章。
当 GSSAPI 使用 Kerberos 时,它使用格式为 servicename/hostname@realm
在连接时,客户端必须知道其打算连接到的服务器的主体名称。主体中的 servicename 部分通常为 postgres,但可以通过 libpq 的 krbsrvname 连接参数选择其他值。 hostname 部分是 libpq 被告知连接到的完全限定主机名。领域名称是客户端可访问的 Kerberos 配置文件中指定的首选领域。
客户端还将拥有一个用于其自身身份的主体名称(并且它必须拥有此主体的有效票证)。要使用 GSSAPI 进行身份验证,客户端主体必须与 PostgreSQL 数据库用户名相关联。可以使用 pg_ident.conf 配置文件将主体映射到用户名;例如,pgusername@realm 可以映射到 pgusername。或者,您可以在 PostgreSQL 中将完整 username@realm 主体用作角色名称,而无需任何映射。
PostgreSQL 还支持通过从主体中剥离领域来将客户端主体映射到用户名。支持此方法是为了向后兼容,强烈不建议使用此方法,因为这样无法区分具有相同用户名但来自不同领域的不同的用户。要启用此功能,请将 include_realm 设置为 0。对于简单的单领域安装,执行此操作并设置 krb_realm 参数(该参数检查主体的领域是否与 krb_realm 参数中的内容完全匹配)仍然是安全的;但与在 pg_ident.conf 中指定显式映射相比,这种方法的功能较弱。
服务器密钥表文件的位置由 krb_server_keyfile 配置参数指定。出于安全原因,建议仅为 PostgreSQL 服务器使用单独的密钥表,而不是允许服务器读取系统密钥表文件。确保 PostgreSQL 服务器帐户可读(最好仅可读,不可写)您的服务器密钥表文件。(另请参见 第 19.1 节。)
密钥表文件是使用 Kerberos 软件生成的;有关详细信息,请参见 Kerberos 文档。以下示例演示如何使用 MIT Kerberos 的 kadmin 工具执行此操作
kadmin%addprinc -randkey postgres/server.my.domain.orgkadmin%ktadd -k krb5.keytab postgres/server.my.domain.org
GSSAPI 身份验证方法支持以下身份验证选项
include_realm如果设置为 0,则在通过用户名映射传递之前 (第 21.2 节),将从经过身份验证的用户主体中剥离领域名称。不建议这样做,并且主要用于向后兼容,因为它在多领域环境中不安全,除非同时使用了 krb_realm。建议将 include_realm 保留为默认值 (1),并在 pg_ident.conf 中提供显式映射,以将主体名称转换为 PostgreSQL 用户名。
映射允许从客户端主体映射到数据库用户名。有关详细信息,请参见 第 21.2 节。对于 GSSAPI/Kerberos 主体,例如 [email protected](或不太常见的 username/[email protected]),用于映射的用户名为 [email protected](或 username/[email protected]),除非 include_realm 已设置为 0,在这种情况下,username(或 username/hostbased)在映射时被视为系统用户名。
krb_realm设置领域以匹配用户主体名称。如果设置此参数,则只接受该领域的用户名。如果未设置,则任何领域的用户名都可以连接,但需遵守所执行的任何用户名映射。
除了这些设置(对于不同的 pg_hba.conf 条目可以不同)之外,还有服务器范围的 krb_caseins_users 配置参数。如果将其设置为 true,则客户端主体将与用户映射条目进行不区分大小写的匹配。如果设置了 krb_realm,则也会进行不区分大小写的匹配。