SSPI est une technologie
Windows pour l'authentification sécurisée avec
single sign-on.
PostgreSQL utilise SSPI dans un mode de
négociation (negotiate
) qui utilise
Kerberos si possible et
NTLM sinon. L'authentification
SSPI et GSSAPI
interopèrent comme clients et serveurs, par exemple un client
SSPI peut s'authentifier avec un serveur
GSSAPI. Il est recommandé d'utiliser
SSPI sur les clients et serveurs Windows
et GSSAPI sur les autres plateformes.
Lorsque Kerberos est utilisé, SSPI fonctionne de la même façon que GSSAPI. Voir Section 20.6 pour les détails.
Les options de configuration suivantes sont supportées pour SSPI :
include_realm
Si configuré à 0, le nom du royaume provenant du principal de
l'utilisateur authentifié est supprimé avant d'être passé à la
correspondance du nom d'utilisateur (Section 20.2). Ceci n'est pas conseillé mais reste
disponible principalement pour des raisons de compatibilité ascendante
car ce n'est pas sûr dans des environnements avec plusieurs royaumes
sauf si krb_realm
est aussi utilisé. Il est
recommandé aux utilisateurs de laisser include_realm configuré à sa
valeur par défaut (1) et de fournir une correspondance explicite dans
pg_ident.conf
.
map
Permet la mise en correspondance entre les noms système et base de
données. Voir Section 20.2 pour plus de détails.
Pour un principal GSSAPI/Kerberos, tel que
username@EXAMPLE.COM
(ou, moins communément,
username/hostbased@EXAMPLE.COM
), le nom d'utilisateur
utilisé pour la correspondance est
username@EXAMPLE.COM
(ou
username/hostbased@EXAMPLE.COM
, respectivement),
sauf si include_realm
a été configuré à 0, auquel
cas username
(ou
username/hostbased
) est ce qui est vu comme le nom
d'utilisateur du système lors de la recherche de correspondance.
krb_realm
Configure le domaine pour la correspondance du principal de l'utilisateur. Si ce paramètre est configuré, seuls les utilisateurs de ce domaine seront acceptés. S'il n'est pas configuré, les utilisateurs de tout domaine peuvent se connecter, à condition que la correspondance du nom de l'utilisateur est faite.