Cette méthode d'authentification utilise des clients SSL pour procéder
à l'authentification. Elle n'est par conséquent disponible que pour
les connexions SSL ;
voir Section 18.9.2 pour les instructions de
configuration SSL.
Quand cette méthode est utilisée, le serveur
exigera que le client fournisse un certificat valide et de confiance. Aucune invite de saisie
de mot de passe ne sera envoyée au client. L'attribut cn
(Common Name) du certificat sera comparé au nom
d'utilisateur de base de données demandé.
S'ils correspondent, la connexion sera autorisée. La correspondance des
noms d'utilisateurs peut être utilisé pour permettre au
cn
d'être différent du nom d'utilisateur de la base de
données.
Les options de configuration suivantes sont supportées pour l'authentification par certificat SSL :
map
Permet la correspondance entre les noms d'utilisateur système et les noms d'utilisateurs de bases de données. Voir Section 20.2 pour les détails.
Dans un enregistrement de pg_hba.conf
indiquant une
authentification par certificat, l'option d'authentification
clientcert
est supposée valoir 1
, et
elle ne peut pas être désactivée car un certificat client est nécessaire
pour cette méthode. Ce que la méthode cert
ajoute au
test basique de validité du certificat clientcert
est
une vérification que l'attribut cn
correspond à un nom
d'utilisateur de la base.