SSPI est une technologie
Windows pour l'authentification sécurisée avec
single sign-on.
PostgreSQL utilise SSPI dans un mode de
négociation (negotiate) qui utilise
Kerberos si possible et
NTLM sinon. L'authentification
SSPI ne fonctionne que lorsque serveur et
client utilisent Windows ou, sur les
autres plateformes, quand GSSAPI est
disponible.
Lorsque Kerberos est utilisé, SSPI fonctionne de la même façon que GSSAPI. Voir Section 20.6 pour les détails.
Les options de configuration suivantes sont supportées pour SSPI :
include_realm
Si configuré à 0, le nom du royaume provenant du principal de
l'utilisateur authentifié est supprimé avant d'être passé à la
correspondance du nom d'utilisateur (Section 20.2). Ceci n'est pas conseillé mais reste
disponible principalement pour des raisons de compatibilité ascendante
car ce n'est pas sûr dans des environnements avec plusieurs royaumes
sauf si krb_realm est aussi utilisé. Il est
recommandé aux utilisateurs de laisser include_realm configuré à sa
valeur par défaut (1) et de fournir une correspondance explicite dans
pg_ident.conf.
map
Permet la mise en correspondance entre les noms système et base de
données. Voir Section 20.2 pour plus de détails.
Pour un principal GSSAPI/Kerberos, tel que
username@EXAMPLE.COM (ou, moins communément,
username/hostbased@EXAMPLE.COM), le nom d'utilisateur
utilisé pour la correspondance est
username@EXAMPLE.COM (ou
username/hostbased@EXAMPLE.COM, respectivement),
sauf si include_realm a été configuré à 0, auquel
cas username (ou
username/hostbased) est ce qui est vu comme le nom
d'utilisateur du système lors de la recherche de correspondance.
krb_realmConfigure le domaine pour la correspondance du principal de l'utilisateur. Si ce paramètre est configuré, seuls les utilisateurs de ce domaine seront acceptés. S'il n'est pas configuré, les utilisateurs de tout domaine peuvent se connecter, à condition que la correspondance du nom de l'utilisateur est faite.