21.3. Методы аутентификации
PostgreSQL предлагает к использованию широкий набор методов аутентификации пользователей:
Аутентификация trust, при которой сервер доверяет пользователям, никак не проверяя их.
Аутентификация password, требующая ввода пароля пользователем.
Аутентификация GSSAPI, использующая библиотеку безопасности, совместимую с GSSAPI. Обычно этот метод применяется при использовании специальной службы аутентификации, Kerberos или Microsoft Active Directory.
Аутентификация SSPI, использующая протокол, подобный GSSAPI, но предназначенный для Windows.
Аутентификация ident, для которой используется служба, реализующая «Identification Protocol» (RFC 1413) на клиентском компьютере. (Для подключений через локальный сокет Unix этот метод работает как peer.)
Аутентификация peer, которая полагается на средства операционной системы, позволяющие узнать пользователя процесса на другой стороне локального подключения. Для удалённых подключений она не поддерживается.
Аутентификация LDAP, работающая с сервером аутентификации LDAP.
Аутентификация RADIUS, работающая с сервером аутентификации RADIUS.
Аутентификация по сертификату, требующая использования клиентами SSL-подключения и построенная на проверке передаваемых ими сертификатов SSL.
Аутентификация PAM, реализуемая с использованием библиотеки PAM.
Аутентификация BSD, основанная на использовании механизма аутентификации BSD (в настоящее время поддерживается только в системе OpenBSD).
Для локальных подключений обычно рекомендуется использовать метод peer, хотя в некоторых обстоятельствах может быть достаточно и режима trust. Для удалённых подключений самой простой будет аутентификация по паролю. Все остальные варианты требуют использования некоторой внешней инфраструктуры безопасности (обычно это служба аутентификации или центр сертификации, выдающий сертификаты SSL) либо поддерживаются не на всех платформах.
Более подробно все эти методы аутентификации описываются в следующих разделах.