【JPUG主催】PostgreSQLカンファレンス2020【11月13日開催】
他のバージョンの文書 12 | 11 | 10 | 9.6 | 9.5 | 9.4 | 9.3 | 9.2 | 9.1 | 9.0 | 8.4 | 8.3 | 8.2 | 8.1 | 8.0 | 7.4 | 7.3 | 7.2

18.10. GSSAPIによる安全なTCP/IP接続

セキュリティを強化する目的でクライアント/サーバの通信を暗号化するためにPostgreSQLもまたGSSAPIの利用を直接サポートしています。 このサポートにはGSSAPIの実装(MIT krb5など)がクライアントとサーバシステムの両方にインストールされていて、PostgreSQLの構築時にそのサポートが有効になっていること(第16章参照)が必要です。

18.10.1. 基本的な設定

PostgreSQLサーバは通常の接続とGSSAPIによる暗号化接続の両方を同じTCPポートで待ち受け、接続しようとするクライアントとGSSAPIによる暗号化(そして認証)を使うかどうかを交渉します。 デフォルトではこの決定はクライアントに任されます(これは攻撃者によってダウングレードできることを意味します)。 サーバが一部あるいはすべての接続でGSSAPIを使うことを要求する設定に関しては20.1をご覧ください。

この交渉の挙動を設定すること以外にはGSSAPI暗号化では、GSSAPI認証に必要な設定はこれ以上ありません。 (設定のより詳細に関しては20.6をご覧ください。)