セキュリティを強化する目的でクライアント/サーバの通信を暗号化するためにPostgreSQLもまたGSSAPIの利用を直接サポートしています。 このサポートにはGSSAPIの実装(MIT Kerberosなど)がクライアントとサーバシステムの両方にインストールされていて、PostgreSQLの構築時にそのサポートが有効になっていること(第17章参照)が必要です。
PostgreSQLサーバは通常の接続とGSSAPIによる暗号化接続の両方を同じTCPポートで待ち受け、接続しようとするクライアントとGSSAPIによる暗号化(そして認証)を使うかどうかを交渉します。 デフォルトではこの決定はクライアントに任されます(これは攻撃者によってダウングレードできることを意味します)。 サーバが一部あるいはすべての接続でGSSAPIを使うことを要求する設定に関しては21.1をご覧ください。
常に基盤の仕組みがクライアントとサーバの身元を(GSSAPIの実装により)特定するため、暗号化にGSSAPIを使用する際は、GSSAPIを認証にも使うのが一般的です。 しかしこれは必須ではありません。追加の認証を行うために、PostgreSQLの他の認証方法を選択することができます。
この交渉の挙動を設定すること以外にはGSSAPI暗号化では、GSSAPI認証に必要な設定はこれ以上ありません。 (設定のより詳細に関しては21.6をご覧ください。)