这种认证方法操作起来类似于password,只不过它使用 LDAP 作为密码验证方法。LDAP 只被用于验证用户名/口令对。因此,在使用 LDAP 进行认证之前,用户必须已经存在于数据库中。
LDAP 认证可以在两种模式下操作。在第一种模式中(我们将称之为简单绑定模式),服务器将绑定到构造成prefix username suffix的可区分名称。通常,prefix参数被用于指定 cn=或者一个活动目录环境中的DOMAIN\。suffix被用来指定非活动目录环境中的DN的剩余部分。
在第二种模式中(我们将称之为搜索与绑定模式),服务器首先用一个固定的用户名和密码(用ldapbinddn和ldapbindpasswd指定)绑定到 LDAP 目录 ,并为试图登入该数据库的用户执行一次搜索。如果没有配置用户名和密码, 将尝试一次匿名绑定到目录。搜索将在位于ldapbasedn的子树上被执行,并将尝试做一次ldapsearchattribute中指定属性的精确匹配。一旦在这次搜索中找到用户,服务器断开并且作为这个用户重新绑定到目录,使用由客户端指定的口令来验证登录是正确的。这种模式与在其他软件中的 LDAP 认证所使用的相同,例如 Apache mod_authnz_ldap 和 pam_ldap。这种方法允许位于目录中用户对象的更大灵活性,但是会导致建立两个到 LDAP 服务器的独立连接。
以下配置选项在两种模式下都使用:
ldapserver要连接的LDAP服务器的名称或IP地址。可以指定多个服务器,用空格分隔。
ldapport要连接的LDAP服务器的端口号。如果未指定端口,则将使用LDAP库的默认端口设置。
ldapscheme
设置为ldaps以使用LDAPS。这是一种非标准的使用LDAP
进行SSL加密的方式,受一些LDAP服务器实现支持。另请参阅ldaptls
选项作为替代。
ldaptls
设置为1以使PostgreSQL和LDAP服务器之间的连接使用TLS加密。这使用
StartTLS操作,参见RFC 4513。
另请参阅ldapscheme选项作为替代。
注意使用ldapscheme或ldaptls仅会加密PostgreSQL服务器和LDAP服务器之间的通信。PostgreSQL服务器和PostgreSQL客户端之间的连接仍是未加密的,除非也在其上使用SSL。
下列选项只被用于简单绑定模式:
ldapprefix当做简单绑定认证时,前置到用户名形成要用于绑定的DN的字符串。
ldapsuffix当做简单绑定认证时,前置到用户名形成要用于绑定的DN的字符串。
以下选项仅在搜索+绑定模式中使用:
ldapbasedn在进行搜索+绑定身份验证时,用于开始搜索用户的根DN。
ldapbinddn用于绑定到目录以执行搜索的用户的DN,当进行搜索+绑定身份验证时。
ldapbindpasswd用于绑定到目录以执行搜索的用户的密码,当进行搜索+绑定身份验证时。
ldapsearchattribute
在进行搜索+绑定身份验证时,用于匹配用户名的属性。如果未指定属性,则将使用uid属性。
ldapsearchfilter
在进行搜索+绑定身份验证时使用的搜索过滤器。
$username的出现将被替换为用户名。这允许比ldapsearchattribute更灵活的搜索过滤器。
ldapurl一个RFC 4516 LDAP URL。这是以更紧凑和标准形式编写其他LDAP选项的替代方式。格式为
ldap[s]://host[:port]/basedn[?[attribute][?[scope][?[filter]]]]
scope必须是base、one、sub中的一个,通常是最后一个。(默认为base,在此应用中通常无用。)attribute可以指定单个属性,此时将用作ldapsearchattribute的值。如果attribute为空,则filter可用作ldapsearchfilter的值。
URL方案ldaps选择了通过SSL进行LDAP连接的LDAPS方法,相当于使用ldapscheme=ldaps。要使用StartTLS操作进行加密LDAP连接,请使用正常的URL方案ldap并另外指定ldaptls选项。
对于非匿名绑定,必须将ldapbinddn和ldapbindpasswd指定为单独的选项。
LDAP URL目前仅受OpenLDAP支持,不支持Windows。
将简单绑定的选项中混合用于搜索与绑定的选项是一种错误。
在使用search+bind模式时,可以用ldapsearchattribute指定的单个属性执行搜索,或者使用ldapsearchfilter指定的自定义搜索过滤器执行搜索。指定ldapsearchattribute=foo等效于指定ldapsearchfilter="(foo=$username)"。如果两个选项都没有被指定,则默认为ldapsearchattribute=uid。
如果PostgreSQL是使用OpenLDAP作为LDAP客户端库编译的,
则ldapserver设置可以省略。在这种情况下,将通过RFC 2782 DNS SRV记录查找主机名和端口列表。
查找名称为_ldap._tcp.DOMAIN,其中DOMAIN是从ldapbasedn中提取的。
这里是一个简单绑定 LDAP 配置的例子:
host ... ldap ldapserver=ldap.example.net ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"
当请求一个作为数据库用户someuser到数据库服务器的连接时,PostgreSQL 将尝试使用cn=someuser, dc=example, dc=net和客户端提供的口令来绑定到 LDAP 服务器。如果那个连接成功,将被授予数据库访问。
这里是一个搜索与绑定配置的例子:
host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchattribute=uid
当请求一个作为数据库用户someuser到数据库服务器的连接时,PostgreSQL 将尝试匿名绑定(因为没有指定ldapbinddn)到 LDAP 服务器,在指定的基础 DN 下执行一次对于(uid=someuser)的搜索。如果找到一个项,则它将尝试使用找到的信息和客户端提供的口令进行绑定。如果第二个连接成功,将被授予数据库访问。
这里是被写成一个 URL 的相同搜索与绑定配置:
host ... ldap ldapurl="ldap://ldap.example.net/dc=example,dc=net?uid?sub"
一些支持根据 LDAP 认证的其他软件使用相同的 URL 格式,因此很容易共享该配置。
这里是一个search+bind配置的例子,它使用ldapsearchfilter而不是ldapsearchattribute来允许用用户ID或电子邮件地址进行认证:
host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchfilter="(|(uid=$username)(mail=$username))"
这是一个search+bind配置的例子,它使用DNS SRV discovery来查找域名example.net的LDAP服务的主机名和端口。
host ... ldap ldapbasedn="dc=example,dc=net"
如例子中所示,由于 LDAP 通常使用逗号和空格来分割一个 DN 的不同部分,在配置 LDAP 选项时通常有必要使用双引号包围的参数值。