PostgreSQLLa base de données la plus sophistiquée au monde.
Documentation PostgreSQL 17.2 » Administration du serveur » Authentification du client » Authentification SSPI

20.7. Authentification SSPI #

SSPI est une technologie Windows pour l'authentification sécurisée avec single sign-on. PostgreSQL utilise SSPI dans un mode de négociation (negotiate) qui utilise Kerberos si possible et NTLM sinon. L'authentification SSPI et GSSAPI interopèrent comme clients et serveurs, par exemple un client SSPI peut s'authentifier avec un serveur GSSAPI. Il est recommandé d'utiliser SSPI sur les clients et serveurs Windows et GSSAPI sur les autres plateformes.

Lorsque Kerberos est utilisé, SSPI fonctionne de la même façon que GSSAPI. Voir Section 20.6 pour les détails.

Les options de configuration suivantes sont supportées pour SSPI :

include_realm

Si configuré à 0, le nom du royaume provenant du principal de l'utilisateur authentifié est supprimé avant d'être passé à la correspondance du nom d'utilisateur (Section 20.2). Ceci n'est pas conseillé mais reste disponible principalement pour des raisons de compatibilité ascendante car ce n'est pas sûr dans des environnements avec plusieurs royaumes sauf si krb_realm est aussi utilisé. Il est recommandé aux utilisateurs de laisser include_realm configuré à sa valeur par défaut (1) et de fournir une correspondance explicite dans pg_ident.conf.

map

Permet la mise en correspondance entre les noms système et base de données. Voir Section 20.2 pour plus de détails. Pour un principal GSSAPI/Kerberos, tel que username@EXAMPLE.COM (ou, moins communément, username/hostbased@EXAMPLE.COM), le nom d'utilisateur utilisé pour la correspondance est username@EXAMPLE.COM (ou username/hostbased@EXAMPLE.COM, respectivement), sauf si include_realm a été configuré à 0, auquel cas username (ou username/hostbased) est ce qui est vu comme le nom d'utilisateur du système lors de la recherche de correspondance.

krb_realm

Configure le domaine pour la correspondance du principal de l'utilisateur. Si ce paramètre est configuré, seuls les utilisateurs de ce domaine seront acceptés. S'il n'est pas configuré, les utilisateurs de tout domaine peuvent se connecter, à condition que la correspondance du nom de l'utilisateur est faite.