Поиск по сайту: Подпишись на рассылку:

Kerberos идентификация

Kerberos - это система безопасной аутентификации промышленного стандарта, подходящая для распределённых вычислений через общедоступные сети.

Доступность

Система аутентификации Kerberos не распространяется с Postgres. Версии Kerberos обычно доступны как необязательное программное обеспечение от продавцов операционных систем. Вдобавок, распространяемый исходный код можно получить через Проект MIT Афина.

Замечание: Тебе всё равно может понадобиться версия MIT, даже если продавец обеспечил тебя версией, из-за того что некоторые перенесенные продавцами версии умышленно испорчены или не взаимодействуют с версией MIT.

Пользователи, расположенные вне США и Канады предупреждаются, что распространение настоящего кода шифрования в Kerberos ограничено правилами экспорта правительства США.

Вопросы относительно Kerberos должны адресоваться продавцу или Проект MIT Афина. Заметим, что FAQL и (Список наиболее часто задаваемых вопросов) периодически помещаются в список рассылки Kerberos (пошли письмо чтобы подписаться), и группу новостей USENET.

Установка

Сам процесс установки Kerberos подробно описан в Замечания по установке Kerberos. Удостоверься, что ключевой файл сервера (srvtab или keytab) как-нибудь читается бюджетом Postgres.

Postgres и его клиенты могут компилироваться при использовании протоколов или версии 4 или версии 5 MIT Kerberos с установленной переменной KRBVERS в файле src/Makefile.global в соответствующее значение. Также можно изменить место поиска Postgres где ожидается найти соответствующие библиотеки, заголовочные файлы и сам ключевой файл сервера.

После окончания компиляции, Postgres должен быть зарегистрирован как сервис Kerberos. Подробней смотри Замечания по работе с Kerberos и соответствующие страницы руководства о регистрации сервиса.

Работа

После начальной установки, Postgres будет работать везде как обычный сервис Kerberos. Подробней про использование аутентификации, смотри в Руководство пользователя PostgreSQL разделы про postmaster и psql.

В обработчиках Kerberos версии 5, делаются следующие предположения об именах пользователя и сервиса:

• Предполагается, что главные имена пользователей (anames) содержат реальные имена пользователей Unix/Postgres в первой компоненте.
• Предполагается, что сервис Postgres имеет две компоненты, имя сервиса и имя машины, как предписывает версия 4 (т.е., с удалением всех суффиксов доменов).

Таблица 3-1. Примеры параметров Kerberos

Параметр	Пример
user	frew@S2K.ORG
user	aoki/HOST=miyu.S2K.Berkeley.EDU@S2K.ORG
host	postgres_dbms/ucbvax@S2K.ORG

Поддержка версии 4 исчезнет сразу после выпуска промышленной версии 5 MIT.