6.2. 認証方式

以下の小節では、認証方式について詳細に説明します。

6.2.1. trust認証

trust認証が指定されるとPgpool-IIは、サーバに接続できる全ての人に対してその人が指定する任意のデータベースユーザ名としてのアクセス権限が付与されていると想定します

6.2.2. MD5パスワード認証

この認証方法はMD-5ハッシュ化されたパスワードがクライアントから送信されるパスワードベースの認証方法です。 Pgpool-IIPostgreSQLデータベースユーザパスワードを見ることができず、クライアントプリケーションはMD5ハッシュ化されたパスワードを送るのみです。 そのため、Pgpool-IImd5認証はpool_passwd認証ファイルを使ってサポートしています。

6.2.2.1. 認証ファイル形式

pool_passwdファイルは以下の形式の行を含みます。

      "username:encrypted_passwd"
     

6.2.2.2. md5認証の設定

以下がmd5認証を有効にする手順です。

1. データベースのOSユーザとしてログインし、"pg_md5 --config-file=pgpool.confへのパス --md5auth --username=ユーザ名 パスワード" を実行します。 pool_passwdがまだ存在していなかった場合は、pg_md5コマンドが自動的にこれを生成します。

注意: ユーザ名とパスワードは、PostgreSQLに登録したものと完全に同じでなければなりません。

2. pool_hba.confにmd5認証のエントリを作成します。 詳細については項6.1を参照してください。

3. (もちろんpool_passwdとPostgreSQLの両方で)のmd5パスワードを変更したら、Pgpool-II設定の再読み込みを実行してください。

6.2.3. PAM認証

この認証方式は認証機構としてPAM(Pluggable Authentication Modules)を使用します。 デフォルトのPAMサービス名はpgpoolです。 Pgpool-IIが稼働するホスト上のユーザ情報を使ったPAM認証を利用することができます。 PAMについての詳細はLinux-PAMページを読んでください

PAM認証を有効にするには、Pgpool-IIのサービス設定ファイルをシステムのPAM設定ディレクトリ(通常は"/etc/pam.d"にあります)に作成しなければなりません。 サービス設定ファイルのサンプルはインストールディレクトリ下に"share/pgpool-II/pgpool.pam"としてインストールされています。

注意: PAMサポートを有効にするには、Pgpool-II"--with-pam"をつけてconfigureされていなければなりません。

6.2.4. GSSAPI認証

GSSAPIは、RFC 2743で定義されている安全な認証のための業界標準のプロトコルです。 今の所Pgpool-IIはGSSAPIをサポートしていません。 クライアントはGSSAPI認証要求を行わないようにするか、「可能ならばGSSAPI認証を使う」オプションを選択しなければなりません(これはPostgreSQLクライアントのデフォルト設定です)。 後者を選択した場合、Pgpool-IIはGSSAPIを使わない認証方式をクライアントにリクエストし、その結果クライアントはGSSAPIを使わない認証方式を使用するので、通常ユーザはGSSAPI認証方式をPgpool-IIが受け入れないことを意識する必要はありません。