PostgreSQL 也原生支援使用GSSAPI來加密客戶端/伺服器通訊,以提高安全性。此支援需要客戶端和伺服器系統上都安裝GSSAPI實作(例如 MIT Kerberos),並且在建置時啟用 PostgreSQL 中的支援(請參閱第 17 章)。
PostgreSQL 伺服器將在同一個 TCP 連接埠上監聽一般連線和GSSAPI加密連線,並將與任何連線的客戶端協商是否使用GSSAPI進行加密(以及驗證)。預設情況下,此決定權取決於客戶端(這表示它可能會被攻擊者降級);請參閱第 20.1 節,瞭解如何設定伺服器以要求某些或所有連線都使用GSSAPI。
當使用GSSAPI進行加密時,通常也使用GSSAPI進行驗證,因為底層機制無論如何都會決定客戶端和伺服器的身分(根據GSSAPI實作)。但這並非必要;可以選擇另一種 PostgreSQL 驗證方法來執行額外的驗證。
除了協商行為的設定之外,GSSAPI加密不需要除了 GSSAPI 驗證之外的任何設定。(有關設定的更多資訊,請參閱第 20.6 節。)
如果您在文件中發現任何不正確、與您對特定功能的體驗不符或需要進一步澄清的地方,請使用此表單來報告文件問題。