[pgsql-jp: 27592] Re: pg_ctl と OS 起動時のpassword 要求について

2002年 10月 9日 (水) 16:42:08 JST

太田です。
;; > local      all                                          ident   sameuser
;; > 
;; > がお薦めです。Internetドメインのident(ループバックを除く)は、なんちゃって
;; > 認証ですが、(PostgreSQLでいうところの)UNIXドメインのidentは信頼できます。
;; > # recvmsg(2)に記述されている、Process credentialを渡す機構を使う。
;; 
;; 本家のMLで，ident認証は負荷が高い(PostgreSQLに接続の度にidentデーモン
;; が呼ばれる)ので，PostgreSQLへの接続/切断頻度が高いとつらい，という話が
;; あったのですが，そのあたりは大丈夫なもんでしょうか?
UNIXドメインのidentはinternetドメインのものと同じ名前が付いていて紛らわしいの
ですが、全く違うものです。identdは使用しません。

仕組みは、FreeBSD, Linux(その他)はUNIXドメインへのsendmsg(2)でプロセスの実効
ユーザid等を送ることができます。この情報は送るプログラムで作成するのではなく
カーネル内部で生成されます。
従ってidentdも不要ですし、ユーザidを騙ることも不可能です。

本家のMLは購読はしているけれど殆ど読んでないのであてずっぽうですが、identd
のプロトコルは軽いはずなので、identdが動いている事が確実でないマシンへのident
認証は避けたほうがいいという意味ではないでしょうか?
# apacheだけでアップアップの状況のマシンでは無視できないかもしれませんが。
--

				HIROSHI OOTA
				oota ＠ LSi.nec.co.jp