begriffs open source - ai-pg/blob - full-docs/txt/gssapi-enc.txt

   1
   2 18.10. Secure TCP/IP Connections with GSSAPI Encryption #
   3
   4    18.10.1. Basic Setup
   5
   6    PostgreSQL also has native support for using GSSAPI to encrypt
   7    client/server communications for increased security. Support requires
   8    that a GSSAPI implementation (such as MIT Kerberos) is installed on
   9    both client and server systems, and that support in PostgreSQL is
  10    enabled at build time (see Chapter 17).
  11
  12 18.10.1. Basic Setup #
  13
  14    The PostgreSQL server will listen for both normal and GSSAPI-encrypted
  15    connections on the same TCP port, and will negotiate with any
  16    connecting client whether to use GSSAPI for encryption (and for
  17    authentication). By default, this decision is up to the client (which
  18    means it can be downgraded by an attacker); see Section 20.1 about
  19    setting up the server to require the use of GSSAPI for some or all
  20    connections.
  21
  22    When using GSSAPI for encryption, it is common to use GSSAPI for
  23    authentication as well, since the underlying mechanism will determine
  24    both client and server identities (according to the GSSAPI
  25    implementation) in any case. But this is not required; another
  26    PostgreSQL authentication method can be chosen to perform additional
  27    verification.
  28
  29    Other than configuration of the negotiation behavior, GSSAPI encryption
  30    requires no setup beyond that which is necessary for GSSAPI
  31    authentication. (For more information on configuring that, see
  32    Section 20.6.)