-
Notifications
You must be signed in to change notification settings - Fork 0
Expand file tree
/
Copy pathauth-ident.html
More file actions
91 lines (91 loc) · 10.2 KB
/
auth-ident.html
File metadata and controls
91 lines (91 loc) · 10.2 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /><title>20.8. Ident認証</title><link rel="stylesheet" type="text/css" href="stylesheet.css" /><link rev="made" href="pgsql-docs@lists.postgresql.org" /><meta name="generator" content="DocBook XSL Stylesheets Vsnapshot" /><link rel="prev" href="sspi-auth.html" title="20.7. SSPI認証" /><link rel="next" href="auth-peer.html" title="20.9. Peer認証" /><meta name="viewport" content="width=device-width,initial-scale=1.0" /></head><body id="docContent" class="container-fluid col-10"><div class="other_version"><a href="https://www.postgresql.jp/document/">バージョンごとのドキュメント一覧</a></div><div class="navheader"><table width="100%" summary="Navigation header"><tr><th colspan="4" align="center"><a accesskey="h" href="index.html">PostgreSQL 18.3文書</a></th></tr><tr><td width="10%" align="left"></td><td width="10%" align="left"></td><td width="60%" align="center"><a href="client-authentication.html" title="第20章 クライアント認証">第20章 クライアント認証</a></td><td width="20%" align="right"><div class="actions"><a class="issue" title="github" href="https://github.com/pgsql-jp/jpug-doc/issues/new?template=bug_report.yml&what-happened=version 18.3 : auth-ident.html">誤訳等の報告
</a></div></td></tr><tr><td width="10%" align="left"><a accesskey="p" href="sspi-auth.html" title="20.7. SSPI認証">前へ</a> </td><td width="10%" align="left"><a accesskey="u" href="client-authentication.html" title="第20章 クライアント認証">上へ</a></td><td width="60%" align="center">20.8. Ident認証</td><td width="20%" align="right"> <a accesskey="n" href="auth-peer.html" title="20.9. Peer認証">次へ</a></td></tr></table><hr /></div><div class="sect1" id="AUTH-IDENT"><div class="titlepage"><div><div><h2 class="title" style="clear: both">20.8. Ident認証 <a href="#AUTH-IDENT" class="id_link">#</a></h2></div></div></div><span class="original">
<title>Ident Authentication</title>
</span><a id="id-1.6.7.16.2" class="indexterm"></a><p>
<span class="original">
The ident authentication method works by obtaining the client's
operating system user name from an ident server and using it as
the allowed database user name (with an optional user name mapping).
This is only supported on TCP/IP connections.
</span>
ident認証方式は、クライアントのオペレーティングシステムのユーザ名をidentサーバから入手し、それを(オプションのユーザ名マップとともに)許可されているデータベースのユーザ名として使用します。
これはTCP/IP接続のみサポートされます。
</p><div class="note"><h3 class="title">注記</h3><p>
<span class="original">
When ident is specified for a local (non-TCP/IP) connection,
peer authentication (see <xref linkend="auth-peer"/>) will be
used instead.
</span>
identが(TCP/IPではない)ローカル接続で指定されている場合、
peer認証(<a class="xref" href="auth-peer.html" title="20.9. Peer認証">20.9</a>を参照してください)が代わりに使用されます。
</p></div><p>
<span class="original">
The following configuration options are supported for <literal>ident</literal>:
</span>
次の設定オプションは<code class="literal">ident</code>のためにサポートされています。
</p><div class="variablelist"><dl class="variablelist"><dt><span class="term"><code class="literal">map</code></span></dt><dd><p>
<span class="original">
Allows for mapping between system and database user names. See
<xref linkend="auth-username-maps"/> for details.
</span>
システムとデータベースユーザ名の間のマッピングを許可します。
詳細は<a class="xref" href="auth-username-maps.html" title="20.2. ユーザ名マップ">20.2</a>を参照してください。
</p></dd></dl></div><p>
</p><p>
<span class="original">
The <quote>Identification Protocol</quote> is described in
<ulink url="https://datatracker.ietf.org/doc/html/rfc1413">RFC 1413</ulink>.
Virtually every Unix-like
operating system ships with an ident server that listens on TCP
port 113 by default. The basic functionality of an ident server
is to answer questions like <quote>What user initiated the
connection that goes out of your port <replaceable>X</replaceable>
and connects to my port <replaceable>Y</replaceable>?</quote>.
Since <productname>PostgreSQL</productname> knows both <replaceable>X</replaceable> and
<replaceable>Y</replaceable> when a physical connection is established, it
can interrogate the ident server on the host of the connecting
client and can theoretically determine the operating system user
for any given connection.
</span>
<span class="quote">「<span class="quote">身元特定(Identification)プロトコル</span>」</span>については<a class="ulink" href="https://datatracker.ietf.org/doc/html/rfc1413" target="_top">RFC 1413</a>で説明されています。
事実上全てのUnix系のオペレーティングシステムの配布には、デフォルトでTCPポート113を監視するidentサーバが付属しています。
identサーバの基本的な機能は<span class="quote">「<span class="quote">どのユーザがポート<em class="replaceable"><code>X</code></em>からの接続を開始し、自分のポート<em class="replaceable"><code>Y</code></em>への接続を初期化したのか?</span>」</span>というような質問に答えることです。
<span class="productname">PostgreSQL</span>は物理的な接続が確立された時に<em class="replaceable"><code>X</code></em>と<em class="replaceable"><code>Y</code></em>の両方を認識するので、接続するクライアントのホスト上のidentサーバに応答指令信号を送ることができ、理論的には与えられたどの接続にもオペレーティングシステムユーザを決定できます。
</p><p>
<span class="original">
The drawback of this procedure is that it depends on the integrity
of the client: if the client machine is untrusted or compromised,
an attacker could run just about any program on port 113 and
return any user name they choose. This authentication method is
therefore only appropriate for closed networks where each client
machine is under tight control and where the database and system
administrators operate in close contact. In other words, you must
trust the machine running the ident server.
Heed the warning:
</span>
この手続きの欠点は、クライアントの正直さに頼るところが大きいということです。
もしクライアントマシンが信用されない、もしくは危険に晒されている場合、攻撃者はポート113上でほぼどんなプログラムでも実行することができ、どのユーザ名でも好きに選んで返すことができます。
したがってこの認証方式は、各々のクライアントマシンが厳格な管理下にあり、データベースとシステム管理者が密接に連絡を取り合って動作している、外界から閉ざされたネットワークにのみ適していると言えます。
言い換えると、identサーバが稼働しているマシンを信用しなければなりません。
次の警告に注意してください。
</p><div class="blockquote"><table border="0" class="blockquote" style="width: 100%; cellspacing: 0; cellpadding: 0;" summary="Block quote"><tr><td width="10%" valign="top"> </td><td width="80%" valign="top"><p>
<span class="original">
The Identification Protocol is not intended as an authorization
or access control protocol.
</span>
身元特定プロトコルは、認証、あるいはアクセス管理プロトコルには意図されていません。
</p></td><td width="10%" valign="top"> </td></tr><tr><td width="10%" valign="top"> </td><td colspan="2" align="right" valign="top">--<span class="attribution">RFC 1413</span></td></tr></table></div><p>
</p><p>
<span class="original">
Some ident servers have a nonstandard option that causes the returned
user name to be encrypted, using a key that only the originating
machine's administrator knows. This option <emphasis>must not</emphasis> be
used when using the ident server with <productname>PostgreSQL</productname>,
since <productname>PostgreSQL</productname> does not have any way to decrypt the
returned string to determine the actual user name.
</span>
いくつかの身元特定サーバは、ユーザ名を(マシンの管理者のみが知っているキーで)暗号化して返すような非標準のオプションを持っています。
このオプションは、身元特定サーバと<span class="productname">PostgreSQL</span>とを一緒に使用する場合には、使用しては<span class="emphasis"><em>いけません</em></span>。
理由は<span class="productname">PostgreSQL</span>は、返された文字列を復号化して本当のユーザを決定するための手段を持っていないためです。
</p></div><div class="navfooter"><hr /><table width="100%" summary="Navigation footer"><tr><td width="40%" align="left"><a accesskey="p" href="sspi-auth.html" title="20.7. SSPI認証">前へ</a> </td><td width="20%" align="center"><a accesskey="u" href="client-authentication.html" title="第20章 クライアント認証">上へ</a></td><td width="40%" align="right"> <a accesskey="n" href="auth-peer.html" title="20.9. Peer認証">次へ</a></td></tr><tr><td width="40%" align="left" valign="top">20.7. SSPI認証 </td><td width="20%" align="center"><a accesskey="h" href="index.html" title="PostgreSQL 18.3文書">ホーム</a></td><td width="40%" align="right" valign="top"> 20.9. Peer認証</td></tr></table></div></body></html>