PostgreSQL 還支援原生使用GSSAPI來加密客戶端/伺服器通訊,以提高安全性。支援需要在一個GSSAPI實現(如 MIT Kerberos)已安裝在客戶端和伺服器系統上,並且在構建時已啟用 PostgreSQL 的支援(參見 第 17 章)。
PostgreSQL 伺服器將在同一 TCP 埠上監聽普通連線和GSSAPI- 加密連線,並將與任何連線的客戶端協商是否使用GSSAPI進行加密(和認證)。預設情況下,此決定由客戶端決定(這意味著它可能被攻擊者降級);有關設定伺服器要求使用GSSAPI用於部分或全部連線的資訊,請參見 第 20.1 節。
在使用GSSAPI進行加密時,通常也會使用GSSAPI進行身份驗證,因為底層機制無論如何都會根據GSSAPI實現確定客戶端和伺服器的身份。但這不是必需的;可以選擇另一種 PostgreSQL 身份驗證方法來執行額外的驗證。
除了配置協商行為外,GSSAPI加密不需要超出 GSSAPI 身份驗證所需的任何設定。(有關配置該身份驗證的更多資訊,請參見 第 20.6 節。)
如果您在文件中看到任何不正確、與您實際體驗不符或需要進一步澄清的內容,請使用 此表單 報告文件問題。