SSPI는 단일 사인온(sign-on)의 보안 인증을 위한 Windows 기술이다. PostgreSQL은 negotiate
모드에서 SSPI를 사용한다.
이것은 가능한 경우 Kerberos를 사용하고, 그 외에는 NTLM으로 자동 폴백(fall back)된다.
SSPI 인증은 서버와 클라이언트가 모두 Windows를 사용하는 경우에만 작동되고, GSSAPI를 사용할 수 있는 경우에는 비 Windows에서 작동된다.
Kerberos 인증 사용 중에는 SSPI가 GSSAPI와 동일한 방식으로 작동된다. 자세한 내용은 20.6절을 참조 바란다.
다음 환경 설정 옵션이 SSPI에 대해 지원된다.
include_realm
If set to 0, the realm name from the authenticated user principal is
stripped off before being passed through the user name mapping
(20.2절). This is discouraged and is
primarily available for backwards compatibility, as it is not secure
in multi-realm environments unless krb_realm
is
also used. It is recommended to
leave include_realm
set to the default (1) and to
provide an explicit mapping in pg_ident.conf
to convert
principal names to PostgreSQL user names.
compat_realm
If set to 1, the domain's SAM-compatible name (also known as the
NetBIOS name) is used for the include_realm
option. This is the default. If set to 0, the true realm name from
the Kerberos user principal name is used.
Do not disable this option unless your server runs under a domain account (this includes virtual service accounts on a domain member system) and all clients authenticating through SSPI are also using domain accounts, or authentication will fail.
upn_username
If this option is enabled along with compat_realm
,
the user name from the Kerberos UPN is used for authentication. If
it is disabled (the default), the SAM-compatible user name is used.
By default, these two names are identical for new user accounts.
Note that libpq uses the SAM-compatible name if no explicit user name is specified. If you use libpq or a driver based on it, you should leave this option disabled or explicitly specify user name in the connection string.
map
시스템과 데이터베이스 사용자 이름 사이의 매핑을 허용한다. 자세한 내용은 20.2절을 참조 바란다.
For a SSPI/Kerberos
principal, such as username@EXAMPLE.COM
(or, less
commonly, username/hostbased@EXAMPLE.COM
), the
user name used for mapping is
username@EXAMPLE.COM
(or
username/hostbased@EXAMPLE.COM
, respectively),
unless include_realm
has been set to 0, in which case
username
(or username/hostbased
)
is what is seen as the system user name when mapping.
krb_realm
사용자 보안 주체(principal) 이름과 일치하는 영역(realm)을 설정한다. 이 매개 변수가 설정된 경우 해당 영역(realm)의 사용자만 허용된다. 설정되지 않으면 모든 영역(realm)의 사용자가 연결할 수 있으며, 영역은 사용자 이름 매핑 완료 여부에 달려 있다.