PostgreSQL也原生支持使用GSSAPI来加密客户端与服务器之间的通信,以提高安全性。要使用该特性,客户端和服务器系统上都必须安装GSSAPI实现(例如 MIT Kerberos),并且在构建PostgreSQL时启用了相应支持(见Chapter 17)。
PostgreSQL 服务器会在同一个 TCP 端口上同时监听普通连接和GSSAPI加密连接,并与每个连接进来的客户端协商是否使用GSSAPI进行加密(以及认证)。默认情况下,这一决定由客户端作出(这意味着攻击者可能实施降级);关于如何把服务器配置为要求某些或全部连接必须使用GSSAPI,请参阅Section 20.1。
使用GSSAPI加密时,通常也会使用GSSAPI进行认证,因为无论如何底层机制都会(依据具体GSSAPI实现)确定客户端和服务器双方的身份。但这并非必须;你也可以选择另一种PostgreSQL认证方法来执行额外验证。
除了协商行为的配置之外,GSSAPI加密不需要任何超出 GSSAPI 认证本身所需的额外设置。(有关该配置的更多信息,见Section 20.6。)
如果您发现文档中有不正确的内容、与您使用特定功能的经验不符或需要进一步说明,请使用此表单来报告文档问题。