PostgreSQL 还原生支持使用GSSAPI为客户端/服务器通信加密以提高安全性。支持需要在客户端和服务器系统上安装一个(例如 MIT Kerberos)GSSAPI实现并且在构建时间启用了 PostgreSQL 中的支持(参见第 17 章)。
PostgreSQL 服务器将在同一 TCP 端口上侦听正常和GSSAPI- 密文连接,并且将与任何连接客户端协商是否使用GSSAPI加密(以及身份验证)。默认情况下,此决策取决于客户端(这意味着它可以被攻击者降级);请参阅 第 20.1 节 关于如何设置服务器要求使用GSSAPI某些或所有连接。
使用时GSSAPI对于加密而言,常用GSSAPI还有身份验证,因为基础机制将在任何情况下决定客户端和服务器标识(根据GSSAPI实现)。但这并不是必需的;可以选择其他 PostgreSQL 身份验证方法来执行其他验证。
除了连接行为配置以外,GSSAPI加密不需要 GSSAPI 身份验证所需的额外设置。(有关配置此问题的更多信息,请参阅 第 20.6 节)。