19.7. Аутентификация SSPI#

19.7. Аутентификация SSPI
19.7. Аутентификация SSPI
Назад НаверхГлава 19. Аутентификация клиентаНачало Далее

19.7. Аутентификация SSPI #

SSPI является технологией Windows для безопасной аутентификации с использованием единого входа. Tantor BE будет использовать SSPI в режиме negotiate, который будет использовать Kerberos, когда это возможно, и автоматически переключаться на NTLM в других случаях. SSPI и GSSAPI взаимодействуют как клиенты и серверы, например, клиент SSPI может аутентифицироваться на сервере GSSAPI. Рекомендуется использовать SSPI на клиентах и серверах Windows и GSSAPI на платформах, отличных от Windows.

При использовании аутентификации Kerberos, SSPI работает так же, как и GSSAPI; см. Раздел 19.6 для получения подробной информации.

Поддерживаются следующие параметры конфигурации для SSPI:

include_realm

Если установлено значение 0, то имя области из аутентифицированного пользователя принципала удаляется перед передачей через отображение имени пользователя (Раздел 19.2). Это не рекомендуется и в основном доступно для обратной совместимости, так как оно не безопасно в средах с несколькими областями, если не используется krb_realm. Рекомендуется оставить настройку include_realm по умолчанию (1) и предоставить явное отображение в pg_ident.conf для преобразования имен принципалов в имена пользователей Tantor BE.

compat_realm

Если установлено значение 1, для опции include_realm используется совместимое с SAM имя домена (также известное как имя NetBIOS). Это значение по умолчанию. Если установлено значение 0, используется истинное имя области из имени принципала пользователя Kerberos.

Не отключать эту опцию, если ваш сервер работает под учетной записью домена (это включает виртуальные учетные записи службы на системе-члене домена) и все клиенты, аутентифицирующиеся через SSPI, также используют учетные записи домена, иначе аутентификация не будет выполнена.

upn_username

Если эта опция включена вместе с compat_realm, для аутентификации используется имя пользователя из Kerberos UPN. Если она отключена (по умолчанию), используется имя пользователя, совместимое с SAM. По умолчанию эти два имени идентичны для новых учетных записей пользователей.

Обратите внимание, что libpq использует совместимое с SAM имя, если не указано явное имя пользователя. Если вы используете libpq или драйвер, основанный на нем, вы должны оставить эту опцию отключенной или явно указать имя пользователя в строке подключения.

map

Позволяет устанавливать соответствие между именами пользователей системы и базы данных. См. Раздел 19.2 для получения подробной информации. Для принципала SSPI/Kerberos, такого как username@EXAMPLE.COM (или, реже, username/hostbased@EXAMPLE.COM), используется имя пользователя для соответствия username@EXAMPLE.COM (или username/hostbased@EXAMPLE.COM, соответственно), если параметр include_realm не установлен в 0, в этом случае системное имя пользователя при соответствии будет username (или username/hostbased).

krb_realm

Устанавливает область для сопоставления имен пользователей с принципалами. Если этот параметр установлен, будут приниматься только пользователи этой области. Если он не установлен, могут подключаться пользователи любой области, с учетом сопоставления имен пользователей.

Назад Наверх Далее
19.6. Аутентификация GSSAPI Начало 19.8. Aутентификации ident