セキュリティを強化する目的でクライアント/サーバの通信を暗号化するためにPostgreSQLもまたGSSAPIの利用を直接サポートしています。 このサポートにはGSSAPIの実装(MIT krb5など)がクライアントとサーバシステムの両方にインストールされていて、PostgreSQLの構築時にそのサポートが有効になっていること(第16章参照)が必要です。
PostgreSQLサーバは通常の接続とGSSAPIによる暗号化接続の両方を同じTCPポートで待ち受け、接続しようとするクライアントとGSSAPIによる暗号化(そして認証)を使うかどうかを交渉します。 デフォルトではこの決定はクライアントに任されます(これは攻撃者によってダウングレードできることを意味します)。 サーバが一部あるいはすべての接続でGSSAPIを使うことを要求する設定に関しては20.1をご覧ください。
この交渉の挙動を設定すること以外にはGSSAPI暗号化では、GSSAPI認証に必要な設定はこれ以上ありません。 (設定のより詳細に関しては20.6をご覧ください。)