Глава 19. Аутентификация клиента#
Глава 19. Аутентификация клиента
Оглавление
- 19.1. Файл
pg_hba.conf - 19.2. Сопоставление имен пользователей
- 19.3. Методы аутентификации
- 19.4. Аутентификация trust
- 19.5. Аутентификация по паролю
- 19.6. Аутентификация GSSAPI
- 19.7. Аутентификация SSPI
- 19.8. Aутентификации ident
- 19.9. Аутентификация peer
- 19.10. Аутентификация LDAP
- 19.11. Аутентификация RADIUS
- 19.12. Аутентификация по сертификату
- 19.13. Аутентификация PAM
- 19.14. Аутентификация BSD
- 19.15. Проблемы аутентификации
Когда клиентское приложение подключается к серверу базы данных, оно указывает, под каким именем пользователя Tantor SE-1C идет подключение, так же, как при входе в систему Unix от имени определенного пользователя. В SQL-среде активное имя пользователя базы данных определяет права доступа к объектам базы данных — см. Глава 20 для получения дополнительной информации. Поэтому важно ограничить, какие пользователи базы данных могут подключаться.
Примечание
Как объясняется в Глава 20,
Tantor SE-1C фактически управляет привилегиями
используя “роли”. В этой главе мы
систематически используем термин пользователь базы данных, подразумевая “роли с
привилегией LOGIN”.
Аутентификация - это процесс, при котором сервер базы данных устанавливает идентификацию клиента и, следовательно, определяет, разрешено ли подключение клиентского приложения (или пользователя, запустившего клиентское приложение) с запрошенным именем пользователя базы данных.
Tantor SE-1C предлагает несколько различных методов аутентификации клиента. Метод, используемый для аутентификации конкретного клиентского подключения, может быть выбран на основе адреса (клиента) хоста, базы данных и пользователя.
Имена пользователей базы данных Tantor SE-1C логически отделены от имен пользователей операционной системы, на которой работает сервер. Если все пользователи конкретного сервера также имеют учетные записи на машине сервера, имеет смысл назначать имена пользователей базы данных, совпадающие с их именами пользователей операционной системы. Однако сервер, принимающий удаленные подключения, может иметь множество пользователей базы данных, у которых нет локальной учетной записи операционной системы, и в таких случаях нет необходимости в связи между именами пользователей базы данных и именами пользователей ОС.