The <productname>PostgreSQL</productname> server will listen for both normal and <acronym>GSSAPI</acronym>-encrypted connections on the same TCP port, and will negotiate with any connecting client whether to use <acronym>GSSAPI</acronym> for encryption (and for authentication). By default, this decision is up to the client (which means it can be downgraded by an attacker); see <xref linkend="auth-pg-hba-conf"/> about setting up the server to require the use of <acronym>GSSAPI</acronym> for some or all connections. PostgreSQLサーバは通常の接続とGSSAPIによる暗号化接続の両方を同じTCPポートで待ち受け、接続しようとするクライアントとGSSAPIによる暗号化（そして認証）を使うかどうかを交渉します。 デフォルトではこの決定はクライアントに任されます（これは攻撃者によってダウングレードできることを意味します）。 サーバが一部あるいはすべての接続でGSSAPIを使うことを要求する設定に関しては21.1をご覧ください。

When using <acronym>GSSAPI</acronym> for encryption, it is common to use <acronym>GSSAPI</acronym> for authentication as well, since the underlying mechanism will determine both client and server identities (according to the <acronym>GSSAPI</acronym> implementation) in any case. But this is not required; another <productname>PostgreSQL</productname> authentication method can be chosen to perform additional verification. 常に基盤の仕組みがクライアントとサーバの身元を（GSSAPIの実装により）特定するため、暗号化にGSSAPIを使用する際は、GSSAPIを認証にも使うのが一般的です。 しかしこれは必須ではありません。追加の認証を行うために、PostgreSQLの他の認証方法を選択することができます。

Other than configuration of the negotiation behavior, <acronym>GSSAPI</acronym> encryption requires no setup beyond that which is necessary for GSSAPI authentication. (For more information on configuring that, see <xref linkend="gssapi-auth"/>.) この交渉の挙動を設定すること以外にはGSSAPI暗号化では、GSSAPI認証に必要な設定はこれ以上ありません。 （設定のより詳細に関しては21.6をご覧ください。）