Rb Cafe » Postgres » Documentation PostgreSQL 13.10 » Administration du serveur » Configuration du serveur et mise en place » Connexions TCP/IP sécurisées avec le chiffrage GSSAPI

18.10. Connexions TCP/IP sécurisées avec le chiffrage GSSAPI

PostgreSQL a aussi un support natif de GSSAPI pour améliorer la sécurité en chiffrant les communications client/serveur. Cela requiert que soit installée une implémentation de GSSAPI (comme MIT Kerberos) à la fois sur le client et le serveur, et que le support dans PostgreSQL soit activé à la compilation (voir Chapitre 16).

18.10.1. Mise en place de base

Le serveur PostgreSQL écoutera sur le même port TCP à la fois les connexions normales et celles chiffrées par GSSAPI, et négociera avec chaque client désirant se connecter s'il faut utiliser GSSAPI pour le chiffrage (et l'authentification). Par défaut, cette décision est celle du client (ce qui signifie qu'un attaquant peut en dégrader le niveau) ; voir Section 20.1 sur comment configurer le serveur pour exiger l'utilisation de GSSAPI pour tout ou partie des connexions.

Lors de l'utilisation de GSSAPI pour le chiffrement, il est commun d'utiliser GSSAPI aussi pour l'authentification car les mécanismes sous-jacents détermineront les identités du client et du serveur (d'après l'implémentation GSSAPI) dans tous les cas. Ceci n'est pas requis. Une autre méthode d'authentification PostgreSQL peut être utilisée pour réaliser les vérifications supplémentaires.

À part la configuration de cette négociation, GSSAPI ne requiert aucune configuration au-delà de ce qui est nécessaire pour l'authentification GSSAPI. (Pour plus d'informations sur sa mise en place, voir Section 20.6.)