<productname>PostgreSQL</productname> also has native support for using <acronym>GSSAPI</acronym> to encrypt client/server communications for increased security. Support requires that a <acronym>GSSAPI</acronym> implementation (such as MIT Kerberos) is installed on both client and server systems, and that support in <productname>PostgreSQL</productname> is enabled at build time (see <xref linkend="installation"/>). セキュリティを強化する目的でクライアント/サーバの通信を暗号化するためにPostgreSQLもまたGSSAPIの利用を直接サポートしています。 このサポートにはGSSAPIの実装(MIT Kerberosなど)がクライアントとサーバシステムの両方にインストールされていて、PostgreSQLの構築時にそのサポートが有効になっていること(第17章参照)が必要です。
The <productname>PostgreSQL</productname> server will listen for both normal and <acronym>GSSAPI</acronym>-encrypted connections on the same TCP port, and will negotiate with any connecting client whether to use <acronym>GSSAPI</acronym> for encryption (and for authentication). By default, this decision is up to the client (which means it can be downgraded by an attacker); see <xref linkend="auth-pg-hba-conf"/> about setting up the server to require the use of <acronym>GSSAPI</acronym> for some or all connections. PostgreSQLサーバは通常の接続とGSSAPIによる暗号化接続の両方を同じTCPポートで待ち受け、接続しようとするクライアントとGSSAPIによる暗号化(そして認証)を使うかどうかを交渉します。 デフォルトではこの決定はクライアントに任されます(これは攻撃者によってダウングレードできることを意味します)。 サーバが一部あるいはすべての接続でGSSAPIを使うことを要求する設定に関しては20.1をご覧ください。
When using <acronym>GSSAPI</acronym> for encryption, it is common to use <acronym>GSSAPI</acronym> for authentication as well, since the underlying mechanism will determine both client and server identities (according to the <acronym>GSSAPI</acronym> implementation) in any case. But this is not required; another <productname>PostgreSQL</productname> authentication method can be chosen to perform additional verification. 常に基盤の仕組みがクライアントとサーバの身元を(GSSAPIの実装により)特定するため、暗号化にGSSAPIを使用する際は、GSSAPIを認証にも使うのが一般的です。 しかしこれは必須ではありません。追加の認証を行うために、PostgreSQLの他の認証方法を選択することができます。
Other than configuration of the negotiation behavior, <acronym>GSSAPI</acronym> encryption requires no setup beyond that which is necessary for GSSAPI authentication. (For more information on configuring that, see <xref linkend="gssapi-auth"/>.) この交渉の挙動を設定すること以外にはGSSAPI暗号化では、GSSAPI認証に必要な設定はこれ以上ありません。 (設定のより詳細に関しては20.6をご覧ください。)