20.7. Аутентификация SSPI#
20.7. Аутентификация SSPI
SSPI является технологией Windows для безопасной аутентификации с использованием единого входа. Tantor SE будет использовать SSPI в режиме negotiate, который будет использовать Kerberos, когда это возможно, и автоматически переключаться на NTLM в других случаях. SSPI и GSSAPI взаимодействуют как клиенты и серверы, например, клиент SSPI может аутентифицироваться на сервере GSSAPI. Рекомендуется использовать SSPI на клиентах и серверах Windows и GSSAPI на платформах, отличных от Windows.
При использовании аутентификации Kerberos, SSPI работает так же, как и GSSAPI; см. Раздел 20.6 для получения подробной информации.
Поддерживаются следующие параметры конфигурации для SSPI:
include_realmЕсли установлено значение 0, то имя области из аутентифицированного пользователя принципала удаляется перед передачей через отображение имени пользователя (Раздел 20.2). Это не рекомендуется и в основном доступно для обратной совместимости, так как оно не безопасно в средах с несколькими областями, если не используется
krb_realm. Рекомендуется оставить настройкуinclude_realmпо умолчанию (1) и предоставить явное отображение вpg_ident.confдля преобразования имен принципалов в имена пользователей Tantor SE.compat_realmЕсли установлено значение 1, для опции
include_realmиспользуется совместимое с SAM имя домена (также известное как имя NetBIOS). Это значение по умолчанию. Если установлено значение 0, используется истинное имя области из имени принципала пользователя Kerberos.Не отключать эту опцию, если ваш сервер работает под учетной записью домена (это включает виртуальные учетные записи службы на системе-члене домена) и все клиенты, аутентифицирующиеся через SSPI, также используют учетные записи домена, иначе аутентификация не будет выполнена.
upn_usernameЕсли эта опция включена вместе с
compat_realm, для аутентификации используется имя пользователя из Kerberos UPN. Если она отключена (по умолчанию), используется имя пользователя, совместимое с SAM. По умолчанию эти два имени идентичны для новых учетных записей пользователей.Обратите внимание, что libpq использует совместимое с SAM имя, если не указано явное имя пользователя. Если вы используете libpq или драйвер, основанный на нем, вы должны оставить эту опцию отключенной или явно указать имя пользователя в строке подключения.
mapПозволяет устанавливать соответствие между именами пользователей системы и базы данных. См. Раздел 20.2 для получения подробной информации. Для принципала SSPI/Kerberos, такого как
[email protected](или, реже,username/[email protected]), используется имя пользователя для соответствия[email protected](илиusername/[email protected], соответственно), если параметрinclude_realmне установлен в 0, в этом случае системное имя пользователя при соответствии будетusername(илиusername/hostbased).krb_realmУстанавливает область для сопоставления имен пользователей с принципалами. Если этот параметр установлен, будут приниматься только пользователи этой области. Если он не установлен, могут подключаться пользователи любой области, с учетом сопоставления имен пользователей.