資料庫PostrageSQL SSPI 認證

2021-10-25 10:30:07 字數 1573 閱讀 3240

sspi是一種用於帶單點登入的安全認證的windows技術。 postgresql在negotiate模式中將使用 sspi,它在可能的情況下使用kerberos並在其他情況下自動降回到ntlm。只有在伺服器和客戶端都執行著windows時,sspi才能工作。或者在非 windows 平台上gssapi可用時,sspi也能工作。

當使用kerberos認證時,sspi和gssapi的工作方式相同,詳見section 20.6。

下列被支援的配置選項用於sspi:

include_realm

如果設定為 0,在通過使用者名稱對映之前(section 20.2),來自已認證使用者 principal 的 realm 名稱會被剝離掉。我們不鼓勵這樣做,這種方法主要是為了向後相容性而存在的,因為它在多 realm 環境中是不安全的(除非也使用krb_realm)。推薦使用者讓include_realm設定為預設值(1)並且在pg_ident.conf中提供一條顯式的對映來把principal 名稱轉換成postgresql使用者名稱。

compat_realm

如果被設定為 1,該域的 sam 相容名稱(也被稱為 netbios 名稱)被用於include_realm選項。這是預設值。如果被設定為 0,會使用來自 kerberos 使用者主名的真實 realm 名稱。

不要禁用這個選項,除非你的伺服器執行在乙個域賬號(這包括乙個域成員系統上的虛擬服務賬號)下並且所有通過 sspi 認證的所有客戶端也在使用域賬號,否則認證將會失敗。

upn_username

如果這個選項和compat_realm一起被啟用,來自 kerberos upn 的使用者名稱會被用於認證。如果它被禁用(預設),會使用 sam 相容的使用者名稱。預設情況下,對於新使用者賬號這兩種名稱是一樣的。

注意如果沒有顯式指定使用者名稱,libpq會使用 sam 相容的名稱。如果你使用的是libpq或者基於它的驅動,你應該讓這個選項保持禁用或者在連線字串中顯式指定使用者名稱。

map

允許在系統和資料庫使用者名稱之間的對映。詳見section 20.2。 對於乙個gssapi/kerberos原則,例如[email protected](或者更不常見的username/[email protected]), 用於對映的使用者名稱會是[email protected](或者username/[email protected],相應地),除非include_realm已經被設定為 0,在那種情況下

username(或者username/hostbased)是 對映時被視作系統使用者名稱的東西。

krb_realm

設定領域為對使用者 principal 名進行匹配的範圍。如果這個引數被設定,只有那個領域的使用者將被接受。如果它沒有被設定,任何領域的使用者都能連線,服從任何已完成的使用者名稱對映。

資料庫 資料庫索引

索引是儲存引擎用於快速找到記錄的一種資料結構。索引以檔案的形式儲存在磁碟中。索引可以包含乙個或多個列的值。儲存引擎查詢資料的時候,先在索引中找對應值,然後根據匹配的索引記錄找到對應的資料行。1.b tree索引 2.雜湊索引 myisam和innodb儲存引擎 只支援btree索引,也就是說預設使用...

資料庫 資料庫正規化

關聯式資料庫的設計規範。不同的規範要求被稱為不同的正規化,越高的正規化資料庫冗餘越小。減少資料庫中資料冗餘的過程 1 第一正規化 1nf 在關係模式r中,當且僅當所有屬性只包含原子值,即每個分量都是不可再分的資料項,則稱r滿足1nf。例如表所示的教師職稱情況關係就不滿足1nf。原因在於,該關係模式中...

資料庫 資料庫基礎

什麼是sql 結構化查詢語言 structtured query language sql的作用 啟動mysql.exe,連線伺服器後,就可以使用sql來操作伺服器了。類似php中操作mysql的語句就是sql語句 sql標準 由國際標準化組織 iso 制定的,對dbms 資料庫管理系統 的統一操作...