File: auth-methods.html

package info (click to toggle)
pgpool2 4.6.1-2
links: PTS, VCS
area: main
in suites: trixie
size: 30,348 kB
sloc: ansic: 94,408; yacc: 30,506; sh: 11,441; lex: 3,818; sql: 1,320; makefile: 955; java: 848; asm: 673; php: 125; ruby: 94
file content (1273 lines) | stat: -rw-r--r-- 28,811 bytes
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML
><HEAD
><TITLE
>認証方式</TITLE
><META
NAME="GENERATOR"
CONTENT="Modular DocBook HTML Stylesheet Version 1.79"><LINK
REV="MADE"
HREF="mailto:pgsql-docs@postgresql.org"><LINK
REL="HOME"
TITLE="Pgpool-II 4.6.1 文書"
HREF="index.html"><LINK
REL="UP"
TITLE="クライアント認証"
HREF="client-authentication.html"><LINK
REL="PREVIOUS"
TITLE="pool_hba.confファイル"
HREF="auth-pool-hba-conf.html"><LINK
REL="NEXT"
TITLE="フロンエンドとバックエンド認証に対する異なる認証方式の使用"
HREF="auth-different-auth-method.html"><LINK
REL="STYLESHEET"
TYPE="text/css"
HREF="stylesheet.css"><META
HTTP-EQUIV="Content-Type"
CONTENT="text/html; charset=utf-8"><META
NAME="creation"
CONTENT="2025-05-13T09:49:42"></HEAD
><BODY
CLASS="SECT1"
><DIV
CLASS="NAVHEADER"
><TABLE
SUMMARY="Header navigation table"
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
><TR
><TH
COLSPAN="4"
ALIGN="center"
VALIGN="bottom"
><A
HREF="index.html"
>Pgpool-II 4.6.1 文書</A
></TH
></TR
><TR
><TD
WIDTH="10%"
ALIGN="left"
VALIGN="top"
><A
TITLE="pool_hba.confファイル"
HREF="auth-pool-hba-conf.html"
ACCESSKEY="P"
>前のページ</A
></TD
><TD
WIDTH="10%"
ALIGN="left"
VALIGN="top"
><A
HREF="client-authentication.html"
ACCESSKEY="U"
>上に戻る</A
></TD
><TD
WIDTH="60%"
ALIGN="center"
VALIGN="bottom"
>第 6章クライアント認証</TD
><TD
WIDTH="20%"
ALIGN="right"
VALIGN="top"
><A
TITLE="フロンエンドとバックエンド認証に対する異なる認証方式の使用"
HREF="auth-different-auth-method.html"
ACCESSKEY="N"
>次のページ</A
></TD
></TR
></TABLE
><HR
ALIGN="LEFT"
WIDTH="100%"></DIV
><DIV
CLASS="SECT1"
><H1
CLASS="SECT1"
><A
NAME="AUTH-METHODS"
>6.2. 認証方式</A
></H1
><P
>   
   以下の小節では、<TT
CLASS="FILENAME"
>pool_hba.conf</TT
>で指定する認証方式について詳細に説明します。
  </P
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="AUTH-TRUST"
>6.2.1. trust認証</A
></H2
><P
>    
    <TT
CLASS="LITERAL"
>trust</TT
>認証が指定されると<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>は、サーバに接続できる全ての人に対してその人が指定する任意のデータベースユーザ名としてのアクセス権限が付与されていると想定します
   </P
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="AUTH-PASSWORD"
>6.2.2. Clear Text Password Authentication</A
></H2
><P
>    <TT
CLASS="LITERAL"
>password</TT
>方式は、パスワードを平文で送信するので、パスワード<SPAN
CLASS="QUOTE"
>"盗聴"</SPAN
>攻撃に対して脆弱です。
    可能ならば、常に避けるようにしてください。
    しかし、接続がSSL暗号で保護されていれば、passwordは安全に使用できます。
    クライアントがSSL暗号を使うことを強制するために、<TT
CLASS="FILENAME"
>pool_hba.conf</TT
>で<TT
CLASS="LITERAL"
>hostssl</TT
>を指定することをおすすめします。
   </P
><P
>    この方式を使う利点は、認証のためのパスワードがクライアント側から提供され、<TT
CLASS="FILENAME"
>pool_passwd</TT
>は使われないことです。
    ですから<TT
CLASS="FILENAME"
>pool_passwd</TT
>の保守を避けることができます。
   </P
><P
>    <A
HREF="runtime-config-connection.html#GUC-ALLOW-CLEAR-TEXT-FRONTEND-AUTH"
>allow_clear_text_frontend_auth</A
>を使っても<TT
CLASS="FILENAME"
>pool_passwd</TT
>の保守を避けることができますが、SSL暗号を強制することはできません。<TT
CLASS="FILENAME"
>pool_hba.conf</TT
>をこのパラメータと一緒に使うことができないからです。
   </P
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="AUTH-MD5"
>6.2.3. MD5パスワード認証</A
></H2
><P
>    
    この認証方法はMD-5ハッシュ化されたパスワードがクライアントから送信されるパスワードベースの認証方法です。
    <SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>は<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>データベースユーザパスワードを見ることができず、クライアントプリケーションはMD5ハッシュ化されたパスワードを送るのみです。
    そのため、<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>の<TT
CLASS="LITERAL"
>md5</TT
>認証は<A
HREF="runtime-config-connection.html#GUC-POOL-PASSWD"
>pool_passwd</A
>認証ファイルを使ってサポートしています。
   </P
><DIV
CLASS="SECT3"
><H3
CLASS="SECT3"
><A
NAME="MD5-AUTHENTICATION-FILE-FORMAT"
>6.2.3.1. 認証ファイル形式</A
></H3
><P
>     
     <TT
CLASS="LITERAL"
>md5</TT
>認証を使用するには、<A
HREF="runtime-config-connection.html#GUC-POOL-PASSWD"
>pool_passwd</A
>認証ファイルに平文、<TT
CLASS="LITERAL"
>AES</TT
>、<TT
CLASS="LITERAL"
>md5</TT
>暗号化形式のいずれかのユーザのパスワード
      が含まれている必要があります。
    </P
><P
>     
     <TT
CLASS="LITERAL"
>pool_passwd</TT
>ファイルは以下の形式の行を含みます。
     </P><PRE
CLASS="PROGRAMLISTING"
>      "username:TEXT_plain_text_passwd"
     </PRE
><P>
     </P><PRE
CLASS="PROGRAMLISTING"
>      "username:AES_encrypted_passwd"
     </PRE
><P>
     </P><PRE
CLASS="PROGRAMLISTING"
>      "username:md5_encrypted_passwd"
     </PRE
><P>
      (実際には、"TEXT"、"AES"、"md5"の後の"_"は存在しません。)
    </P
></DIV
><DIV
CLASS="SECT3"
><H3
CLASS="SECT3"
><A
NAME="SETTING-MD5-AUTHENTICATION"
>6.2.3.2. md5認証の設定</A
></H3
><P
>     
     以下が<TT
CLASS="LITERAL"
>md5</TT
>認証を有効にする手順です。
    </P
><P
>     
     1. データベースのOSユーザとしてログインし、<TT
CLASS="COMMAND"
>"pg_md5 --config-file=pgpool.confへのパス --md5auth --username=ユーザ名 パスワード"</TT
> を実行します。
     <A
HREF="runtime-config-connection.html#GUC-POOL-PASSWD"
>pool_passwd</A
>がまだ存在していなかった場合は、pg_md5コマンドが自動的にこれを生成します。
      </P><DIV
CLASS="NOTE"
><BLOCKQUOTE
CLASS="NOTE"
><P
><B
>注意: </B
>	
	ユーザ名とパスワードは、<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>に登録したものと完全に同じでなければなりません。
       </P
></BLOCKQUOTE
></DIV
><P>
    </P
><P
>     
     2. <TT
CLASS="FILENAME"
>pool_hba.conf</TT
>にmd5認証のエントリを作成します。
     詳細については<A
HREF="auth-pool-hba-conf.html"
>項6.1</A
>を参照してください。
     <TT
CLASS="FILENAME"
>pool_hba.conf</TT
>を有効にしない場合は、<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>の<TT
CLASS="FILENAME"
>pg_hba.conf</TT
>でmd5認証が指定されていることを確認してください。
    </P
><P
>     
     3. （もちろんpool_passwdと<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>の両方で）md5パスワードを変更したら、<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>設定の再読み込みを実行してください。
    </P
></DIV
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="AUTH-SCRAM"
>6.2.4. scram-sha-256認証</A
></H2
><P
>    
    SCRAMとも呼ばれるこの認証方式は、信頼できない接続におけるパスワードの盗聴を防ぐチャレンジレスポンス認証です。
    <SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>は、<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>データベースユーザのパスワードの可視性を持たないため、<TT
CLASS="LITERAL"
>SCRAM</TT
>認証は<A
HREF="runtime-config-connection.html#GUC-POOL-PASSWD"
>pool_passwd</A
>認証ファイルを使用してサポートされています。
   </P
><DIV
CLASS="SECT3"
><H3
CLASS="SECT3"
><A
NAME="SCRAM-AUTHENTICATION-FILE-FORMAT"
>6.2.4.1. SCRAMの認証ファイルエントリ</A
></H3
><P
>     
     <TT
CLASS="LITERAL"
>SCRAM</TT
>認証を使用する場合、<A
HREF="runtime-config-connection.html#GUC-POOL-PASSWD"
>pool_passwd</A
>認証ファイルは平文もしくは<TT
CLASS="LITERAL"
>AES</TT
>暗号化ファーマットのユーザパスワードを含んでる必要があります。

      </P><PRE
CLASS="PROGRAMLISTING"
>       "username:TEXT_plain_text_passwd"
      </PRE
><P>
      </P><PRE
CLASS="PROGRAMLISTING"
>       "username:AES_encrypted_passwd"
      </PRE
><P>
      (実際には、"TEXT"あるいは"AES"の後の"_"は存在しません。)
      </P><DIV
CLASS="NOTE"
><BLOCKQUOTE
CLASS="NOTE"
><P
><B
>注意: </B
>	
	<A
HREF="runtime-config-connection.html#GUC-POOL-PASSWD"
>pool_passwd</A
>ファイル内の<TT
CLASS="LITERAL"
>md5</TT
>形式のユーザパスワードは<TT
CLASS="LITERAL"
>SCRAM</TT
>認証に使用できません。
       </P
></BLOCKQUOTE
></DIV
><P>
    </P
></DIV
><DIV
CLASS="SECT3"
><H3
CLASS="SECT3"
><A
NAME="SETTING-SCRAM-SHA-256-AUTHENTICATION"
>6.2.4.2. scram-sha-256認証の設定</A
></H3
><P
>     
     以下が<TT
CLASS="LITERAL"
>scram-sha-256</TT
>認証を有効にする手順です。
    </P
><P
>     
     1- 平文または<TT
CLASS="LITERAL"
>AES</TT
>暗号化フォーマットのデータベースユーザとパスワードの<A
HREF="runtime-config-connection.html#GUC-POOL-PASSWD"
>pool_passwd</A
>ファイルエントリを作成します。
      <SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>付属の<A
HREF="pg-enc.html"
>pg_enc</A
>コマンドで<A
HREF="runtime-config-connection.html#GUC-POOL-PASSWD"
>pool_passwd</A
>ファイル内に<TT
CLASS="LITERAL"
>AES</TT
>暗号化パスワードエントリを作成することができます。
	</P><DIV
CLASS="NOTE"
><BLOCKQUOTE
CLASS="NOTE"
><P
><B
>注意: </B
>	  
	  ユーザ名とパスワードは<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>サーバに登録されているものと一致している必要があります。
	 </P
></BLOCKQUOTE
></DIV
><P>
    </P
><P
>     
     2- <TT
CLASS="FILENAME"
>pool_hba.conf</TT
>に適切なscram-sha-256エントリを追加します。
     詳細は<A
HREF="auth-pool-hba-conf.html"
>項6.1</A
>を参照してください。
     <TT
CLASS="FILENAME"
>pool_hba.conf</TT
>を有効にしない場合は、<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>の<TT
CLASS="FILENAME"
>pg_hba.conf</TT
>でscram-sha-256認証が指定されていることを確認してください。
    </P
><P
>     
     3- （もちろんpool_passwdと<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>の両方で）SCRAMパスワードを変更したら、<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>の設定の再読み込みを実行してください。
    </P
></DIV
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="AUTH-CERT"
>6.2.5. 証明書認証</A
></H2
><P
>    
    この認証方式は認証を実施するために<TT
CLASS="LITERAL"
>SSL</TT
>クライアント証明書を使用します。
    この認証方式を使っている場合、<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>はクライアントが提供する有効な証明書を要求します。
    パスワードプロンプトがクライアントに送信されません。

    証明書の<TT
CLASS="LITERAL"
>cn</TT
>（コモンネーム）の属性は要求されたデータベースユーザ名と比較され、一致した場合ログインが許可されます。
   </P
><DIV
CLASS="NOTE"
><BLOCKQUOTE
CLASS="NOTE"
><P
><B
>注意: </B
>     
     証明書認証はクライアントと<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>の間でのみ使用できます。
     証明書認証は<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>と<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>の間では使用できません。
     バックエンド認証にはその他の認証方式を使用できます。
    </P
></BLOCKQUOTE
></DIV
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="AUTH-PAM"
>6.2.6. PAM認証</A
></H2
><P
>    
    この認証方式は認証機構としてPAM（Pluggable Authentication Modules）を使用します。
    デフォルトのPAMサービス名は<TT
CLASS="LITERAL"
>pgpool</TT
>です。
    <SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>が稼働するホスト上のユーザ情報を使ったPAM認証を利用することができます。
    PAMについての詳細は<A
HREF="http://www.kernel.org/pub/linux/libs/pam/"
TARGET="_top"
>Linux-PAM</A
>ページを読んでください
   </P
><P
>    
    PAM認証を有効にするには、<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>のサービス設定ファイルをシステムのPAM設定ディレクトリ（通常は<TT
CLASS="LITERAL"
>"/etc/pam.d"</TT
>にあります）に作成しなければなりません。
   </P
><DIV
CLASS="NOTE"
><BLOCKQUOTE
CLASS="NOTE"
><P
><B
>注意: </B
>     
     PAMサポートを有効にするには、<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>が<TT
CLASS="COMMAND"
>"--with-pam"</TT
>をつけてconfigureされていなければなりません。
    </P
></BLOCKQUOTE
></DIV
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="AUTH-LDAP"
>6.2.7. LDAP認証</A
></H2
><P
>    
この認証方式はパスワード確認にLDAPを使用します。
LDAPはユーザの名前とパスワードの組み合わせのみに使用されます。
そのため、LDAPを使用して認証を行うようにする前に、ユーザはデータベースに存在しなければなりません。
   </P
><P
>    
LDAP認証は2つのモードで動作します。1つ目のモードでは、それは単なるバインド・モードを呼び出すものですが、サーバは<TT
CLASS="REPLACEABLE"
><I
>prefix</I
></TT
> <TT
CLASS="REPLACEABLE"
><I
>username</I
></TT
> <TT
CLASS="REPLACEABLE"
><I
>suffix</I
></TT
>として区別された名前にバインドします。
一般的に、<TT
CLASS="REPLACEABLE"
><I
>prefix</I
></TT
>パラメータはActive Directory環境での<TT
CLASS="LITERAL"
>cn=</TT
>や<TT
CLASS="REPLACEABLE"
><I
>DOMAIN</I
></TT
><TT
CLASS="LITERAL"
>\</TT
>を特定するために使用されます。
<TT
CLASS="REPLACEABLE"
><I
>suffix</I
></TT
>は、Active Directory環境ではない場合でのDNの残りの部分を特定するために使用されます。
   </P
><P
>    
2つ目のモードでは、それはsearch/bindモードを呼び出すもので、サーバは最初に<TT
CLASS="REPLACEABLE"
><I
>ldapbinddn</I
></TT
>と<TT
CLASS="REPLACEABLE"
><I
>ldapbindpasswd</I
></TT
>で指定された、固定されたユーザ名とパスワードを使用してLDAPディレクトリにバインドします。
それからデータベースにログインしようとしているユーザを検索します。
もしユーザとパスワードが指定されていなかった場合、ディレクトリに対して匿名でバインドします。
検索は<TT
CLASS="REPLACEABLE"
><I
>ldapbasedn</I
></TT
>のサブツリーまで行われ、<TT
CLASS="REPLACEABLE"
><I
>ldapsearchattribute</I
></TT
>で指定された属性に正確に一致するかどうかまで行われます。
この検索において、一度ユーザが見つかるとサーバは切断して、クライアントで指定されたパスワードを使用してこのユーザとして再度ディレクトリにバインドします。
これはそのログインが正しいかどうかを検証するためです。
このモードはApache <TT
CLASS="LITERAL"
>mod_authzn_heap</TT
>および<TT
CLASS="LITERAL"
>pam_ldap</TT
>のように他のソフトウェアと同じように、LDAP認証の仕組みで使用されるものと同じです。
この方法は、ユーザオブジェクトがディレクトリに配置されている場合に、かなりの柔軟性があります。
しかし、LDAPサーバへの2つの分離した接続が作成されます。
   </P
><P
>    
次の設定オプションは両方のモードで使用されます。
    <P
></P
></P><DIV
CLASS="VARIABLELIST"
><DL
><DT
><TT
CLASS="LITERAL"
>ldapserver</TT
></DT
><DD
><P
>        
接続するLDAPサーバの名称もしくはIPアドレスの名称。空白で区切ることで複数のサーバを指定できます。
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldapport</TT
></DT
><DD
><P
>        
LDAPサーバに接続するためのポート番号。
もしポートが指定されていない場合はLDAPライブラリ内のデフォルトポート設定が使用されます。
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldapscheme</TT
></DT
><DD
><P
>        
<TT
CLASS="LITERAL"
>ldaps</TT
>に設定するとLDAPSを使用します。
これはいくつかのLDAPサーバーの実装でサポートされている、SSL経由のLDAPを使用する非標準の方法です。
代替方法については、<TT
CLASS="LITERAL"
>ldaptls</TT
>オプションを参照してください。
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldaptls</TT
></DT
><DD
><P
>        
1に設定すると、Pgpool-IIとLDAPサーバ間の接続にTLSによる暗号化を使用します。
これはRFC 4513の<TT
CLASS="LITERAL"
>StartTLS</TT
>操作を使用します。
代替方法については、<TT
CLASS="LITERAL"
>ldapscheme</TT
>オプションを参照して下さい。
       </P
></DD
></DL
></DIV
><P>
   </P
><P
>    
<TT
CLASS="LITERAL"
>ldapscheme</TT
>や<TT
CLASS="LITERAL"
>ldaptls</TT
>を使うときにはPgpool-IIサーバとLDAPサーバ間のトラフィックのみが暗号化されることに注意して下さい。
SSLがそこでも使用されていない限り、Pgpool-IIサーバとクライアントとの接続は、暗号化されません。
   </P
><P
>    
以下のオプションは単純バインド・モードのみで使用されます。
    <P
></P
></P><DIV
CLASS="VARIABLELIST"
><DL
><DT
><TT
CLASS="LITERAL"
>ldapprefix</TT
></DT
><DD
><P
>        
単純なバインド認証を行う場合のDNを生成する際にユーザ名の前に追加する文字列
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldapsuffix</TT
></DT
><DD
><P
>        
単純なバインド認証を行う場合のDNを生成する際にユーザ名の後に追加する文字列
       </P
></DD
></DL
></DIV
><P>
   </P
><P
>    
以下のオプションはsearch/bindモードのみで使用されます。
    <P
></P
></P><DIV
CLASS="VARIABLELIST"
><DL
><DT
><TT
CLASS="LITERAL"
>ldapbasedn</TT
></DT
><DD
><P
>        
検索とバインドの認証を行う場合のユーザ名がログインするための検索を始めるためのルートDN
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldapbinddn</TT
></DT
><DD
><P
>        
検索とバインドの認証を行う場合のディレクトリと検索をバインドするためのユーザのDN
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldapbindpasswd</TT
></DT
><DD
><P
>        
検索とバインドの認証を行う場合のディレクトリと検索をバインドするためのユーザのパスワード
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldapsearchattribute</TT
></DT
><DD
><P
>        
検索とバインドの認証を行う場合の検索時のユーザ名に対して一致させる属性。
属性が指定されない場合、属性<TT
CLASS="LITERAL"
>uid</TT
>が使用されます。
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldapsearchfilter</TT
></DT
><DD
><P
>        
search/bind認証を行うときに使用する検索フィルタです。
<TT
CLASS="LITERAL"
>$username</TT
>の出現はユーザ名に置き換えられます。
これにより<TT
CLASS="LITERAL"
>ldapsearchattribute</TT
>よりも柔軟な検索フィルタが可能になります。
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>ldapurl</TT
></DT
><DD
><P
>        
RFC 4516 LDAP URL。これはその他いくつかのLDAPオプションをより簡潔、かつ一般的な形式で記述する別の方法です。
フォーマットは以下のようになっています。
</P><PRE
CLASS="SYNOPSIS"
>ldap[s]://<TT
CLASS="REPLACEABLE"
><I
>host</I
></TT
>[:<TT
CLASS="REPLACEABLE"
><I
>port</I
></TT
>]/<TT
CLASS="REPLACEABLE"
><I
>basedn</I
></TT
>[?[<TT
CLASS="REPLACEABLE"
><I
>attribute</I
></TT
>][?[<TT
CLASS="REPLACEABLE"
><I
>scope</I
></TT
>][?[<TT
CLASS="REPLACEABLE"
><I
>filter</I
></TT
>]]]]</PRE
><P>
        
<TT
CLASS="REPLACEABLE"
><I
>scope</I
></TT
>は<TT
CLASS="LITERAL"
>base</TT
>、<TT
CLASS="LITERAL"
>one</TT
>、<TT
CLASS="LITERAL"
>sub</TT
>のいずれかでなくてはならず、一般的には最後のものです。
 （デフォルトは<TT
CLASS="LITERAL"
>base</TT
>です。これは通常このアプリケーションでは役に立ちません。）
<TT
CLASS="REPLACEABLE"
><I
>attribute</I
></TT
>は単一の属性を指定できます。その場合、それは<TT
CLASS="LITERAL"
>ldapsearchattribute</TT
>の値として使用されます。
もし<TT
CLASS="REPLACEABLE"
><I
>attribute</I
></TT
>が空の場合は、<TT
CLASS="LITERAL"
>ldapsearchfilter</TT
>の値として<TT
CLASS="REPLACEABLE"
><I
>filter</I
></TT
>を使用することができます。
       </P
><P
>        
 URLスキーム<TT
CLASS="LITERAL"
>ldaps</TT
>は、<TT
CLASS="LITERAL"
>ldapscheme=ldaps</TT
>を使用するのと同じ、SSL上のLDAP接続をするLDAPS方式を選択します。
<TT
CLASS="LITERAL"
>StartTLS</TT
>操作による暗号化されたLDAP接続を使用するには、通常のURLスキーム<TT
CLASS="LITERAL"
>ldap</TT
>を使用し、<TT
CLASS="LITERAL"
>ldapurl</TT
>に加え<TT
CLASS="LITERAL"
>ldaptls</TT
>オプションを使用しなければなりません。
       </P
><P
>        
非匿名バインド（non-anonymous bind）に対し、<TT
CLASS="LITERAL"
>ldapbinddn</TT
>および<TT
CLASS="LITERAL"
>ldapbindpasswd</TT
>は個別のオプションとして指定されなければなりません。
       </P
></DD
><DT
><TT
CLASS="LITERAL"
>backend_use_passwd</TT
></DT
><DD
><P
>        
1に設定すると、LDAP認証で使用されたパスワードを<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>とバックエンド間の認証に使用します。
       </P
></DD
></DL
></DIV
><P>
   </P
><P
>    
search/bindオプションと単純バインドに対するオプションの設定を混在させるのはエラーです。
   </P
><P
>    
search/bindモードを使用するときは、<TT
CLASS="LITERAL"
>ldapsearchattribute</TT
>で指定される単一の属性を使って、あるいは<TT
CLASS="LITERAL"
>ldapsearchfilter</TT
>で指定されるカスタム検索フィルターを使って、検索を実行できます。
<TT
CLASS="LITERAL"
>ldapsearchattribute=foo</TT
>の指定は、<TT
CLASS="LITERAL"
>ldapsearchfilter="(foo=$username)"</TT
>と同等です。
どちらのオプションもない場合は、<TT
CLASS="LITERAL"
>ldapsearchattribute=uid</TT
>がデフォルトです。
   </P
><P
>     
<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>が、LDAPクライアントライブラリとして<SPAN
CLASS="PRODUCTNAME"
>OpenLDAP</SPAN
>を使用するようにコンパイルされていた場合、<TT
CLASS="LITERAL"
>ldapserver</TT
>の設定は省略出来ます。
その場合、ホスト名とポート番号のリストは、RFC 2782 DNS SRVレコードを使用して検索されます。
<TT
CLASS="LITERAL"
>_ldap._tcp.DOMAIN</TT
>という名前が検索され、<TT
CLASS="LITERAL"
>ldapbasedn</TT
>から<TT
CLASS="LITERAL"
>DOMAIN</TT
>が抽出されます。
   </P
><P
>    
以下に単純バインドLDAP設定の例を示します。
</P><PRE
CLASS="PROGRAMLISTING"
>host ... ldap ldapserver=ldap.example.net ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"</PRE
><P>
    
データベースのユーザ、<TT
CLASS="LITERAL"
>foo</TT
>からデータベースサーバに接続を要求された場合、Pgpool-IIはDN <TT
CLASS="LITERAL"
>cn=foo, dc=example, dc=net</TT
>およびクライアントから提供されたパスワードを用いてLDAPサーバにバインドを試みます。
その接続が成功すればデータベースへのアクセスが認められます。
   </P
><P
>    
以下はsearch/bind設定の例です。
</P><PRE
CLASS="PROGRAMLISTING"
>host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchattribute=uid</PRE
><P>
    
データベースユーザ<TT
CLASS="LITERAL"
>foo</TT
>としてデータベースに接続するとき、Pgpool-IIは（<TT
CLASS="LITERAL"
>ldapbinddn</TT
>が指定されていないので）匿名的にバインドを試み、指定されたベースDNの基で<TT
CLASS="LITERAL"
>(uid=foo)</TT
>の検索を行います。あるエントリが見つかると、見つかった情報とクライアントから与えられたパスワードを用いて、その結果バインドを試みます。その二番目の接続が成功するとデータベースアクセスが認められます。
   </P
><P
>    
URLとして記述した同じsearch/bind設定の例です。
</P><PRE
CLASS="PROGRAMLISTING"
>host ... ldap ldapurl="ldap://ldap.example.net/dc=example,dc=net?uid?sub"</PRE
><P>
    
LDAPに対し認証をサポートする幾つかの他のソフトウェアは同じURLフォーマットを使用します。
従って、設定をより簡易に共有することができます。
   </P
><P
>    
<TT
CLASS="LITERAL"
>ldapsearchattribute</TT
>の代わりに<TT
CLASS="LITERAL"
>ldapsearchfilter</TT
>を使用してユーザーIDまたは電子メールアドレスによる認証を可能にするsearch/bind設定の例です。
</P><PRE
CLASS="PROGRAMLISTING"
>host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchfilter="(|(uid=$username)(mail=$username))"</PRE
><P>
   </P
><P
>    
DNS SRV検出を使用してドメイン名<TT
CLASS="LITERAL"
>example.net</TT
>のLDAPサービスのホスト名とポート番号を検索する、search/bind設定の例です。
</P><PRE
CLASS="PROGRAMLISTING"
>host ... ldap ldapbasedn="dc=example,dc=net"</PRE
><P>
   </P
><DIV
CLASS="TIP"
><BLOCKQUOTE
CLASS="TIP"
><P
><B
>ティップ: </B
>     
LDAPはDNの異なる構成要素を区別するため往々にしてコンマとスペースを使用します。
例で示されたように、LDAPオプションを設定する場合、二重引用符で括られたパラメータ値を使用することが必須となることがしばしば必須となります。
    </P
></BLOCKQUOTE
></DIV
><DIV
CLASS="NOTE"
><BLOCKQUOTE
CLASS="NOTE"
><P
><B
>注意: </B
>     
     LDAPサポートを有効にするには、<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>が<TT
CLASS="COMMAND"
>"--with-ldap"</TT
>をつけてconfigureされていなければなりません。
    </P
></BLOCKQUOTE
></DIV
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="AUTH-GSSAPI"
>6.2.8. GSSAPI認証</A
></H2
><P
>    
    GSSAPIは、RFC 2743で定義されている安全な認証のための業界標準のプロトコルです。
    今の所<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>はGSSAPIをサポートしていません。
    クライアントはGSSAPI認証要求を行わないようにするか、「可能ならばGSSAPI認証を使う」オプションを選択しなければなりません（これは<SPAN
CLASS="PRODUCTNAME"
>PostgreSQL</SPAN
>クライアントのデフォルト設定です)。
    後者を選択した場合、<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>はGSSAPIを使わない認証方式をクライアントにリクエストし、その結果クライアントはGSSAPIを使わない認証方式を使用するので、通常ユーザはGSSAPI認証方式を<SPAN
CLASS="PRODUCTNAME"
>Pgpool-II</SPAN
>が受け入れないことを意識する必要はありません。
   </P
></DIV
></DIV
><DIV
CLASS="NAVFOOTER"
><HR
ALIGN="LEFT"
WIDTH="100%"><TABLE
SUMMARY="Footer navigation table"
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
><TR
><TD
WIDTH="33%"
ALIGN="left"
VALIGN="top"
><A
HREF="auth-pool-hba-conf.html"
ACCESSKEY="P"
>前のページ</A
></TD
><TD
WIDTH="34%"
ALIGN="center"
VALIGN="top"
><A
HREF="index.html"
ACCESSKEY="H"
>ホーム</A
></TD
><TD
WIDTH="33%"
ALIGN="right"
VALIGN="top"
><A
HREF="auth-different-auth-method.html"
ACCESSKEY="N"
>次のページ</A
></TD
></TR
><TR
><TD
WIDTH="33%"
ALIGN="left"
VALIGN="top"
><TT
CLASS="FILENAME"
>pool_hba.conf</TT
>ファイル</TD
><TD
WIDTH="34%"
ALIGN="center"
VALIGN="top"
><A
HREF="client-authentication.html"
ACCESSKEY="U"
>上に戻る</A
></TD
><TD
WIDTH="33%"
ALIGN="right"
VALIGN="top"
>フロンエンドとバックエンド認証に対する異なる認証方式の使用</TD
></TR
></TABLE
></DIV
></BODY
></HTML
>