20.8. Aутентификации ident#

20.8. Aутентификации ident

20.8. Aутентификации ident

Метод аутентификации ident работает путем получения имени пользователя операционной системы клиента от сервера ident и использования его в качестве разрешенного имени пользователя базы данных (с возможным отображением имени пользователя). Это поддерживается только для соединений TCP/IP.

Примечание

Когда для локального (не TCP/IP) соединения указан идентификатор (ident), будет использоваться аутентификация по протоколу peer (см. Раздел 20.9).

Поддерживаются следующие параметры конфигурации для ident:

map

Позволяет устанавливать соответствие между именами пользователей системы и базы данных. См. Раздел 20.2 для получения подробной информации.

Протокол Identification Protocol описан в RFC 1413. Практически каждая операционная система, похожая на Unix, поставляется с идентификационным сервером, который по умолчанию прослушивает TCP порт 113. Основная функция идентификационного сервера заключается в ответах на вопросы типа Какой пользователь инициировал соединение, которое выходит из вашего порта X и подключается к моему порту Y?. Поскольку Tantor SE знает как X, так и Y при установлении физического соединения, он может опрашивать идентификационный сервер на хосте подключающегося клиента и теоретически может определить пользователя операционной системы для любого данного соединения.

Недостатком этой процедуры является то, что она зависит от целостности клиента: если клиентская машина недоверенная или скомпрометирована, злоумышленник может запустить практически любую программу на порту 113 и вернуть любое имя пользователя, которое он выберет. Этот метод аутентификации подходит только для закрытых сетей, где каждая клиентская машина находится под тщательным контролем и где администраторы базы данных и системы работают в тесном контакте. Другими словами, вы должны доверять машине, на которой работает сервер идентификации. Обратите внимание на предупреждение:

 

Протокол ident не предназначен для авторизации или контроля доступа.

 
 --RFC 1413

Некоторые серверы идентификации имеют нестандартную опцию, которая заставляет возвращаемое имя пользователя быть зашифрованным с использованием ключа, который знает только администратор исходной машины. Эту опцию нельзя использовать при использовании сервера идентификации с Tantor SE, поскольку Tantor SE не умеет расшифровывать возвращаемую строку, чтобы определить фактическое имя пользователя.