PostgreSQL 服务器将侦听同一 TCP 端口上的正常连接和GSSAPI-加密连接，并将与任何连接的客户端协商是否使用GSSAPI进行加密（以及进行身份验证）。默认情况下，此决定由客户端决定（这意味着它可以被攻击者降级）；请参阅 第 20.1 节，了解如何设置服务器以要求使用GSSAPI用于某些或所有连接。

当使用GSSAPI进行加密时，通常使用GSSAPI进行身份验证，因为底层机制将在任何情况下都确定客户端和服务器标识（根据GSSAPI实现）。但这并非必需；可以选择另一种 PostgreSQL 身份验证方法来执行其他验证。

除了配置协商行为之外，GSSAPI加密不需要任何设置，除了 GSSAPI 身份验证所需的设置之外。（有关配置的更多信息，请参阅 第 20.6 节。）