postgresql登录验证功能提供了trust, reject, md5, password, gss, sspi,ident, peer, pam, ldap, radius,cert等多种验证方式。用户可以使用其中的任何一种方式用来进行登录验证,当然DBA可以针对不同的客户端采用不同的验证方式。本文主要介绍下GSS方式在postgresql中的实现原理。
1. GSS简介
GSS是Generic security service的简写,其API称为GSS-API(Generic Security service Application Program Interface)。GSS-API在对等应用程序之间提供安全通信。GSS-API还提供验证、完整性和保密性服务。在Solaris中实现的GSS-API可以使用Kerberos v5、SPNEGO和Diffie-Hellman加密。GSS-API主要用于设计或实现安全的应用程序协议。GSS-API可以向其他类型的协议(如SASL)提供服务。GSS-API通过SASL来向LDAP提供服务。更多可以参考