pg_authid
pg_authid
カタログはデータベース認証識別子(ロール)の情報を保持します。
ロールは「ユーザ」と「グループ」の概念を包括しています。
ユーザは本質的にrolcanlogin
フラグセットを持ったロールです。
どのようなロール(rolcanlogin
を持っている、持っていないに関わらず)も他のロールをメンバとして持っていても構いません。
pg_auth_members
を参照してください。
このカタログはパスワードを含んでいるため、第三者が内容を読むことができないようにしなければいけません。
pg_roles
は、pg_authid
のビューで、パスワードのフィールドは空白となっていますので内容を読み取ることができます。
第22章でユーザと権限管理に関するより詳細について説明します。
ユーザの本人確認はクラスタ全体にわたる情報ですので、pg_authid
はクラスタのすべてのデータベースで共有されます。
データベース毎ではなく、クラスタ毎にたった1つだけpg_authid
が存在します。
表53.8 pg_authid
の列
列 型 説明 |
---|
行識別子 |
ロール名 |
ロールはスーパーユーザの権限を持っています |
ロールは自動的にメンバとして属するロールの権限を継承します |
ロールはロールを作成することができます |
ロールはデータベースを作成することができます |
ロールはログインすることができます。つまりロールはセッションを始める認証の識別子となることができます。 |
ロールはレプリケーション用のロールです。 レプリケーションロールは、レプリケーション接続を開始すること、およびレプリケーションスロットを作成および削除することができます。 |
すべての行単位セキュリティポリシーを無視するロール。詳しくは5.8を参照してください。 |
ログイン可能なロールでは、これはロールが確立できる同時実行接続数を設定します。 -1は制限無しを意味します。 |
(おそらく暗号化された)パスワード。無い場合はNULLです。 書式は使用される暗号化の形式に依存します。 |
パスワード有効期限(パスワード認証でのみ使用)。 NULLの場合には満了時間はありません。 |
MD5で暗号化されたパスワードでは、rolpassword
列は文字列md5
で始まり、それに32文字の16進MD5ハッシュ値が続きます。
MD5ハッシュは、ユーザのパスワードとユーザ名を繋げたものに対して生成されます。
例えばjoe
のパスワードがxyzzy
なら、PostgreSQLはxyzzyjoe
のMD5ハッシュを格納します。
パスワードがSCRAM-SHA-256で暗号化される場合、次の書式になります。
SCRAM-SHA-256$<iteration count>
:<salt>
$<StoredKey>
:<ServerKey>
ここで、salt
、StoredKey
、ServerKey
はBase64の符号化書式に従います。
この書式はRFC 5803で指定されているものと同じです。
これらのいずれの書式にも従っていないパスワードは、暗号化されていないものとみなされます。