# 19.10.使用GSSAPI加密保护TCP/IP连接

19.10.1. 基本设置

PostgreSQL还支持使用GSSAPI加密客户端/服务器通信,以提高安全性。支持要求在客户端和服务器系统上安装GSSAPI实现(如MIT Kerberos),并且在构建时启用PostgreSQL中的支持(请参阅第17章).

# 19.10.1.基本设置

PostgreSQL server将在同一TCP端口上侦听普通连接和GSSAPI加密连接,并将与任何连接客户端协商是否使用GSSAPI进行加密(和身份验证)。默认情况下,该决定取决于客户端(这意味着攻击者可以将其降级);看见第21.1节关于设置服务器以要求对部分或所有连接使用GSSAPI。

在使用GSSAPI进行加密时,通常也会使用GSSAPI进行身份验证,因为在任何情况下,底层机制都将确定客户端和服务器身份(根据GSSAPI实现)。但这不是必须的;可以选择另一种PostgreSQL身份验证方法来执行额外的验证。

除了配置协商行为外,GSSAPI加密不需要设置GSSAPI身份验证所需的设置。(有关配置的更多信息,请参阅第21.6节.)