这种认证方法的工作方式与 password 类似,只不过它使用 LDAP 作为密码验证方法。LDAP 只用于验证用户名/密码对。因此,在使用 LDAP 进行认证之前,用户必须已经存在于数据库中。
LDAP 认证可以在两种模式下工作。第一种模式称为简单绑定模式,服务器会绑定到按 prefix username suffix 形式构造出的可分辨名称。通常,prefix 参数用于指定 cn=,或在 Active Directory 环境中指定 DOMAIN\。suffix 则用于指定非 Active Directory 环境中 DN 的剩余部分。
第二种模式称为搜索+绑定模式,服务器首先使用由 ldapbinddn 和 ldapbindpasswd 指定的固定用户名和密码绑定到 LDAP 目录,并搜索试图登录数据库的用户。如果没有配置用户名和密码,则会尝试对目录进行匿名绑定。搜索会在 ldapbasedn 指定的子树上进行,并尝试对 ldapsearchattribute 指定的属性做精确匹配。一旦在搜索中找到了该用户,服务器就会作为该用户重新绑定到目录,并使用客户端指定的密码来验证登录是否正确。这种模式与 Apache mod_authnz_ldap 和 pam_ldap 等软件中的 LDAP 认证方案相同。这种方法使目录中用户对象的位置更具灵活性,但会对 LDAP 服务器额外发起两次请求。
以下配置选项在两种模式下都使用:
注意使用ldapscheme或ldaptls仅会加密PostgreSQL 服务器和LDAP服务器之间的通信。PostgreSQL 服务器和PostgreSQL客户端之间的连接仍是未加密的,除非也在其上使用SSL。
下列选项只被用于简单绑定模式:
以下选项仅在搜索+绑定模式中使用:
ldapbasedn #在进行搜索+绑定认证时,用作用户搜索起点的根 DN。
ldapbinddn #在进行搜索+绑定认证时,用于绑定到目录并执行搜索的用户 DN。
ldapbindpasswd #在进行搜索+绑定认证时,用于绑定到目录并执行搜索的用户密码。
ldapsearchattribute #在进行搜索+绑定认证时,用于与用户名匹配的属性。如果未指定属性,则会使用 uid 属性。
ldapsearchfilter #在进行搜索+绑定认证时使用的搜索过滤器。 其中出现的 $username 会被替换为用户名。这使得搜索过滤器比 ldapsearchattribute 更灵活。
ldapurl #一个RFC 4516 LDAP URL。这是以更紧凑和标准形式编写其他LDAP选项的替代方式。格式为
ldap[s]://host[:port]/basedn[?[attribute][?[scope][?[filter]]]]
scope必须是base、one、sub中的一个,通常是最后一个。(默认为base,在此应用中通常无用。)attribute可以指定单个属性,此时将用作ldapsearchattribute的值。如果attribute为空,则filter可用作ldapsearchfilter的值。
URL方案ldaps选择了通过SSL进行LDAP连接的LDAPS方法,相当于使用ldapscheme=ldaps。要使用StartTLS操作进行加密LDAP连接,请使用正常的URL方案ldap并另外指定ldaptls选项。
对于非匿名绑定,必须将ldapbinddn和ldapbindpasswd指定为单独的选项。
LDAP URL目前仅受OpenLDAP支持,不支持Windows。
将简单绑定选项与搜索+绑定选项混用是错误的。若要在简单绑定模式下使用 ldapurl,该 URL 中不能包含 basedn 或查询元素。
在使用搜索+绑定模式时,可以使用由 ldapsearchattribute 指定的单个属性执行搜索,也可以使用由 ldapsearchfilter 指定的自定义搜索过滤器执行搜索。指定 ldapsearchattribute=foo 等价于指定 ldapsearchfilter="(foo=$username)"。如果两个选项都未指定,则默认使用 ldapsearchattribute=uid。
如果 PostgreSQL 编译时使用了 OpenLDAP 作为 LDAP 客户端库,则可以省略 ldapserver 设置。在这种情况下,会通过 RFC 2782 DNS SRV 记录查找主机名和端口列表。查找的名称是 _ldap._tcp.DOMAIN,其中 DOMAIN 从 ldapbasedn 中提取。
下面是一个简单绑定 LDAP 配置示例:
host ... ldap ldapserver=ldap.example.net ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"
当请求以数据库用户 someuser 连接数据库服务器时,PostgreSQL 将尝试使用 DN cn=someuser, dc=example, dc=net 和客户端提供的密码绑定到 LDAP 服务器。如果该连接成功,数据库访问就会被授予。
下面是另一种简单绑定配置,它使用 LDAPS 方案和自定义端口号,并以 URL 形式写出:
host ... ldap ldapurl="ldaps://ldap.example.net:49151" ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"
这种写法比单独指定 ldapserver、ldapscheme 和 ldapport 稍微更紧凑。
下面是一个搜索+绑定配置示例:
host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchattribute=uid
当请求以数据库用户 someuser 连接数据库服务器时,PostgreSQL 将尝试对 LDAP 服务器进行匿名绑定(因为未指定 ldapbinddn),并在指定的基础 DN 下执行一次 (uid=someuser) 搜索。如果找到了对应条目,随后就会尝试使用该条目的信息以及客户端提供的密码进行绑定。如果第二次绑定成功,数据库访问就会被授予。
下面是以 URL 形式写出的同一个搜索+绑定配置:
host ... ldap ldapurl="ldap://ldap.example.net/dc=example,dc=net?uid?sub"
某些支持 LDAP 认证的其他软件也使用相同的 URL 格式,因此共享这类配置会更容易。
这里是一个搜索+绑定配置的示例,它使用 ldapsearchfilter 而不是 ldapsearchattribute 来允许用用户 ID 或电子邮件地址进行认证:
host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchfilter="(|(uid=$username)(mail=$username))"
这是一个搜索+绑定配置的示例,它使用 DNS SRV 发现来查找域名 example.net 的 LDAP 服务的主机名和端口。
host ... ldap ldapbasedn="dc=example,dc=net"
如示例中所示,由于 LDAP 通常使用逗号和空格来分割一个 DN 的不同部分,在配置 LDAP 选项时通常有必要使用双引号包围的参数值。
如果您发现文档中有不正确的内容、与您使用特定功能的经验不符或需要进一步说明,请使用此表单来报告文档问题。