Kerberos は、業界標準の安全な認証 システムであり、公共のネットワークにおける分散コンピューティ ング環境にマッチするものです。
Kerberos 認証システムは Postgres といっしょに配布されているわけではあり ません。Kerberos は通常オペレーテ ィングシステムのベンダーから、オプショナルソフトウェアとして 入手できます。加えて、ソースコードの配布物は MIT Project Athena を通して入手することができるでしょう。
Note: ベンダーがあるバージョンを提供している場合でも、MIT のバージ ョンが必要となる場合もあるかもしれません。というのは、ベンダ ーが提供するバージョンの中には、MIT のバージョンとは故意に 非互換にしていたりするものもあるからです。
Kerberos における実際の暗号化コー ドの配布は、米国政府の輸出規制により制限されていますので、米 国とカナダ以外に在住しているユーザは、注意してください。
Kerberos に関する問い合わせは、あ なたのベンダーかまたは MIT Project Athena までお願いします。 Kerberos メーリングリスト には、定期的に FAQL(FAQ リスト)がポストされています。 この ML に参加するには ここ にメールを送るか、または USENET ニューズグ ループ を見てください。
Kerberos そのもののインストールは Kerberos Installation Notes で述べられ ています。サーバのキーファイル(srvtab または keytab)は Postgres アカウントからなんらかの方法で読めるようにして おく必要があります。
Postgres およびそのクライアントで は、src/Makefile.global の中にある KRBVERS 変数を適切な値に設定することにより、MIT Kerberos プロトコルのバージョン4 またはバージョン5を使用するようにコンパイルすることができま す。また Postgres が期待する、関連 するライブラリ、ヘッダファイル、およびサーバのキーファイルと いったものの場所を変更することもできます。
コンパイルが正常に終了したら、Postgres を Kerberos のサービ スとして登録する必要があります。詳細およびサービスの登録につ いては Kerberos Operations Notes と関連 マニュアルをご覧ください。
初期インストールが終われば、Postgres はすべての面で通常の Kerberos サー ビスとして動作するようになるはずです。認証の使用に関する詳細 は、PostgreSQL User's Guide の postmaster と psql のリファレンスセクションのところを参照してくだ さい。
Kerberos バージョン5の仕掛けによ り、ユーザとサービスのネーミングに関して以下の仮定がなされま す:
ユーザの本来の名前(anames)の最初のコンポーネントには、実際の Unix または Postgres のユーザ名を含 んでいるものとみなされます。
Postgres のサービスはサービス名と ホスト名という2つのコンポーネントを持っており、それらはバー ジョン4と同様に正式なものであるとみなされます(すなわち、す べてのドメイン・サフィックスが取り除かれます)。
Table 3-1. Kerberos パラメータの例
| Parameter | Example |
|---|---|
| user | frew@S2K.ORG |
| user | aoki/HOST=miyu.S2K.Berkeley.EDU@S2K.ORG |
| host | postgres_dbms/ucbvax@S2K.ORG |
バージョン4のサポートは、MIT のバージョン5の製品リリース後 には、なくなってしまうでしょう。