PostgreSQL 还支持原生使用GSSAPI来加密客户端/服务器通信,以提高安全性。支持需要在一个GSSAPI实现(如 MIT Kerberos)已安装在客户端和服务器系统上,并且在构建时已启用 PostgreSQL 的支持(参见 第 17 章)。
PostgreSQL 服务器将在同一 TCP 端口上监听普通连接和GSSAPI- 加密连接,并将与任何连接的客户端协商是否使用GSSAPI进行加密(和认证)。默认情况下,此决定由客户端决定(这意味着它可能被攻击者降级);有关设置服务器要求使用GSSAPI用于部分或全部连接的信息,请参见 第 20.1 节。
在使用GSSAPI进行加密时,通常也会使用GSSAPI进行身份验证,因为底层机制无论如何都会根据GSSAPI实现确定客户端和服务器的身份。但这不是必需的;可以选择另一种 PostgreSQL 身份验证方法来执行额外的验证。
除了配置协商行为外,GSSAPI加密不需要超出 GSSAPI 身份验证所需的任何设置。(有关配置该身份验证的更多信息,请参见 第 20.6 节。)
如果您在文档中看到任何不正确、与您实际体验不符或需要进一步澄清的内容,请使用 此表单 报告文档问题。