PostgreSQL a aussi un support natif de GSSAPI pour améliorer la sécurité en chiffrant les communications client/serveur. Cela requiert que soit installée une implémentation de GSSAPI (comme MIT Kerberos) à la fois sur le client et le serveur, et que le support dans PostgreSQL soit activé à la compilation (voir Chapitre 17).
Le serveur PostgreSQL écoutera sur le même port TCP à la fois les connexions normales et celles chiffrées par GSSAPI, et négociera avec chaque client désirant se connecter s'il faut utiliser GSSAPI pour le chiffrage (et l'authentification). Par défaut, cette décision est celle du client (ce qui signifie qu'un attaquant peut en dégrader le niveau) ; voir Section 21.1 sur comment configurer le serveur pour exiger l'utilisation de GSSAPI pour tout ou partie des connexions.
Lors de l'utilisation de GSSAPI pour le chiffrement, il est commun d'utiliser GSSAPI aussi pour l'authentification car les mécanismes sous-jacents détermineront les identités du client et du serveur (d'après l'implémentation GSSAPI) dans tous les cas. Ceci n'est pas requis. Une autre méthode d'authentification PostgreSQL peut être utilisée pour réaliser les vérifications supplémentaires.
À part la configuration de cette négociation, GSSAPI ne requiert aucune configuration au-delà de ce qui est nécessaire pour l'authentification GSSAPI. (Pour plus d'informations sur sa mise en place, voir Section 21.6.)
