20.8. Aутентификации ident#
20.8. Aутентификации ident
Метод аутентификации ident работает путем получения имени пользователя операционной системы клиента от сервера ident и использования его в качестве разрешенного имени пользователя базы данных (с возможным отображением имени пользователя). Это поддерживается только для соединений TCP/IP.
Примечание
Когда для локального (не TCP/IP) соединения указан идентификатор (ident), будет использоваться аутентификация по протоколу peer (см. Раздел 20.9).
Поддерживаются следующие параметры конфигурации для ident
:
map
Позволяет устанавливать соответствие между именами пользователей системы и базы данных. См. Раздел 20.2 для получения подробной информации.
Протокол “Identification Protocol” описан в
RFC 1413.
Практически каждая операционная система, похожая на Unix,
поставляется с идентификационным сервером, который по умолчанию
прослушивает TCP порт 113. Основная функция идентификационного сервера
заключается в ответах на вопросы типа “Какой пользователь инициировал
соединение, которое выходит из вашего порта X
и подключается к моему порту Y
?”.
Поскольку Tantor SE знает как X
, так и
Y
при установлении физического соединения, он
может опрашивать идентификационный сервер на хосте подключающегося
клиента и теоретически может определить пользователя операционной системы
для любого данного соединения.
Недостатком этой процедуры является то, что она зависит от целостности клиента: если клиентская машина недоверенная или скомпрометирована, злоумышленник может запустить практически любую программу на порту 113 и вернуть любое имя пользователя, которое он выберет. Этот метод аутентификации подходит только для закрытых сетей, где каждая клиентская машина находится под тщательным контролем и где администраторы базы данных и системы работают в тесном контакте. Другими словами, вы должны доверять машине, на которой работает сервер идентификации. Обратите внимание на предупреждение:
Протокол ident не предназначен для авторизации или контроля доступа. | ||
--RFC 1413 |
Некоторые серверы идентификации имеют нестандартную опцию, которая заставляет возвращаемое имя пользователя быть зашифрованным с использованием ключа, который знает только администратор исходной машины. Эту опцию нельзя использовать при использовании сервера идентификации с Tantor SE, поскольку Tantor SE не умеет расшифровывать возвращаемую строку, чтобы определить фактическое имя пользователя.