6.1. 强身份验证简介
6.1.1. 关于强身份验证
当用户访问一个系统时,系统通常会要求用户提供一些信息来标志自己身份和使用系统的能力。系统验证这些信息来判断是否允许用户访问、用户可访问哪些功能。这便是用户认证的过程。 当系统的用户数量庞大时,对系统账号信息的管理和使用会是一个复杂问题。在系统内部处理这个问题可能偏离了系统本身应提供的功能,因此将其分离出来交给另一个服务来完成是一个比较好的解决方法。
身份认证是数据库服务器建立客户端身份的过程,并且服务器决定客户端应用是否被允许以请求的数据库用户名来连接。KingbaseES提供多种不同的身份认证方式。密码是最常见的身份验证方式,KingbaseES还通过支持多种第三方身份验证服务来启用强身份验证。
6.1.2. 强身份验证的工作原理
第三方身份验证服务器与数据库,客户端配合使用,基本的工作原理如下步骤:
-
客户端(或者运行客户端应用的用户)向身份验证服务器提供密码或者令牌等信息;
-
身份验证服务器验证用户身份并将凭证返回给客户端;
-
客户端将这些凭证和服务请求传递给数据库服务器;
-
数据库服务器将凭证发送给身份验证服务器请求验证;
-
身份验证服务器检查凭证并通知数据库服务器验证结果。如果身份验证服务器接受凭证,则身份验证成功。如果身份验证服务器拒绝了凭证,则客户端的请求将被拒绝;
6.1.3. 支持的强身份验证方法
KingbaseES数据库支持多种第三方服务认证的方法,如下表所示:
| 认证方式 | 说明 |
|---|---|
| scram-sha-256 | 执行SCRAM-SHA-256认证以验证用户的密码 |
| md5 | 执行SCRAM-SHA-256或MD5认证以验证用户的密码 |
| Kerberos | Kerberos是一个依赖于共享机密的可信第三方身份验证系统,支持使用keberos服务器进行集中身份鉴别 |
| ldap | LDAP是一种通过IP协议提供访问控制和维护分布式信息的目录信息,支持使用LDAP服务器认证 |
| radius | RADIUS是一种客户端/服务器的安全协议,支持使用LDAP服务器认证 |
| cert | 使用 SSL 客户端证书认证 |
| gss | 用GSSAPI 认证用户。只对TCP/IP连接可用。 |
| sspi | 用 SSPI 来认证用户。只在Windows上可用。 |
| ident | 允许客户端上的特定操作系统用户连接到数据库。Ident认证只能在TCIP/IP连接上使用。 |
| peer | 从操作系统获得客户端的操作系统用户,并且检查它是否匹配被请求的数据库用户名。这只对本地连接可用。 |
| pam | 使用操作系统提供的可插入认证模块服务(PAM)认证 |
| bsd | 使用由操作系统提供的 BSD 认证服务进行认证 |
具体认证方式的配置和使用将在后续章节详细介绍。
975
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
