From 262eab83dad7bd8dbe1e4fcb3f89cded74e75fbd Mon Sep 17 00:00:00 2001 From: Koichi Ito Date: Fri, 7 Jul 2023 18:44:53 +0900 Subject: [PATCH 1/3] =?UTF-8?q?=E7=AC=AC21=E7=AB=A0=E3=81=AE=E6=96=87?= =?UTF-8?q?=E7=AB=A0=E8=A1=A8=E7=8F=BE=E3=82=92=E8=A6=8B=E7=9B=B4=E3=81=97?= =?UTF-8?q?=E3=81=BE=E3=81=97=E3=81=9F=E3=80=82=20=E3=83=BB=E5=86=97?= =?UTF-8?q?=E9=95=B7=E8=A1=A8=E7=8F=BE=E3=81=AE=E8=A6=8B=E7=9B=B4=E3=81=97?= =?UTF-8?q?=EF=BC=88=E4=BE=8B=EF=BC=9A=E3=81=99=E3=82=8B=E3=81=93=E3=81=A8?= =?UTF-8?q?=E3=81=8C=E3=81=A7=E3=81=8D=E3=81=BE=E3=81=99=E2=87=92=E3=81=A7?= =?UTF-8?q?=E3=81=8D=E3=81=BE=E3=81=99=EF=BC=89=20=E3=83=BB=EF=BC=88?= =?UTF-8?q?=EF=BC=89=E3=82=92=E5=85=A8=E8=A7=92=E3=81=AB=E7=B5=B1=E4=B8=80?= =?UTF-8?q?=E3=81=97=E3=81=9F=20=E3=83=BB=E6=BC=A2=E5=AD=97=E3=81=AE?= =?UTF-8?q?=E9=96=8B=E3=81=8D=E3=81=AE=E8=A6=8B=E7=9B=B4=E3=81=97=EF=BC=88?= =?UTF-8?q?=E4=BE=8B=EF=BC=9A=E4=B8=8B=E3=81=95=E3=81=84=E2=87=92=E3=81=8F?= =?UTF-8?q?=E3=81=A0=E3=81=95=E3=81=84=EF=BC=89=20=E3=83=BB=E5=8A=A9?= =?UTF-8?q?=E8=A9=9E=E3=81=AE=E7=B9=B0=E3=82=8A=E8=BF=94=E3=81=97=E3=81=AE?= =?UTF-8?q?=E8=A6=8B=E7=9B=B4=E3=81=97=20=E3=83=BB=E9=80=81=E3=82=8A?= =?UTF-8?q?=E4=BB=AE=E5=90=8D=E3=81=AE=E8=A6=8B=E7=9B=B4=E3=81=97=EF=BC=88?= =?UTF-8?q?=E4=BE=8B=EF=BC=9A=E8=A1=8C=E3=81=AA=E3=82=8F=E3=82=8C=E3=81=BE?= =?UTF-8?q?=E3=81=99=E2=87=92=E8=A1=8C=E3=82=8F=E3=82=8C=E3=81=BE=E3=81=99?= =?UTF-8?q?=EF=BC=89=20=E3=83=BB=E7=A8=BC=E5=8B=95=E2=87=92=E7=A8=BC?= =?UTF-8?q?=E5=83=8D=20=E3=83=BB=E8=AA=AD=E7=82=B9=E3=81=AE=E7=B5=B1?= =?UTF-8?q?=E4=B8=80=EF=BC=88,=E2=87=92=E3=80=81=EF=BC=89?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- doc/src/sgml/client-auth.sgml | 80 +++++++++++++++++------------------ 1 file changed, 40 insertions(+), 40 deletions(-) diff --git a/doc/src/sgml/client-auth.sgml b/doc/src/sgml/client-auth.sgml index 7b711815aee..f0ed86ed9b0 100644 --- a/doc/src/sgml/client-auth.sgml +++ b/doc/src/sgml/client-auth.sgml @@ -129,11 +129,11 @@ SQL 環境の中では存在するユーザ名でデータベースオブジェ --> pg_hba.confファイルの一般的な書式は、1行につき1つのレコードというレコードの集合です。 空行はコメント用の#文字以降の文字と同じく無視されます。 -行の最後をバックスラッシュで終えることによりレコードを次の行に継続することができます。(行の最後を除き、バックスラッシュは特別扱いされません。) +行の最後をバックスラッシュで終えることによりレコードを次の行に継続できます。(行の最後を除き、バックスラッシュは特別扱いされません。) レコードはスペースもしくはタブ、もしくはその両方で区切られた、複数のフィールドで構成されています。 フィールドには、フィールド値が二重引用符付きの場合空白文字を含むことができます。 -データベース、ユーザもしくはアドレスフィールド内のキーワード(例:allまたはreplication)の一つを引用するとその特別な意味が失われ、その名称のデータベース、ユーザもしくはホストと一致するようになります。 -引用テキストあるいはコメントもバックスラッシュで行を継続することができます。 +データベース、ユーザもしくはアドレスフィールド内のキーワード(例:allまたはreplication)の一つを引用するとその特別な意味が失われ、その名称のデータベース、ユーザもしくはホストと一致するようになります。 +引用テキストあるいはコメントもバックスラッシュで行を継続できます。 @@ -343,7 +343,7 @@ hostnogssenc database usersameroleのメンバとはみなされません。 replicationという値は、もし物理レプリケーション接続が要求された場合にレコードが一致することを指定します。 しかし、論理レプリケーションによる接続には一致しません。 -物理レプリケーション接続は特定のデータベースを指定しないのに対し、論理レプリケーション接続は特定のデータベースを指定することに注意して下さい。 +物理レプリケーション接続は特定のデータベースを指定しないのに対し、論理レプリケーション接続は特定のデータベースを指定することに注意してください。 それ以外の場合には、特定のPostgreSQLデータベースの名前になります。 データベースの名前はカンマで区切ることで複数指定できます。 データベース名を含む別のファイルを、そのファイル名の前に@を付けることで指定できます。 @@ -377,7 +377,7 @@ hostnogssenc database user+で始まるグループ名のどちらかになります。 (PostgreSQLではユーザとグループの明確な区別がないことを思い出してください。 +のマークは、このロールの直接的もしくは間接的なメンバのどちらかに一致していることを意味しています。 -一方、+のマークのない名前は特定のロールにのみ一致します) +一方、+のマークがない名前は特定のロールにのみ一致します) このため、スーパーユーザは、直接的であれ間接的であれ明示的にロールのメンバである場合にのみ、ロールのメンバとみなされます。 スーパーユーザであるからといってロールのメンバとはみなされません。 ユーザ名は、カンマで区切ることで複数指定できます。 @@ -413,7 +413,7 @@ hostnogssenc database user/)とCIDRマスクの長さという標準の数値表記で指定されます。 CIDRマスク長とは、クライアントIPアドレスが一致しなければならない、高位のビット数を表すものです。 指定するIPアドレスのこれより右側のビットには、0を指定しなければなりません。 -IPアドレスと/、およびCIDRマスク長の間には空白を入れてはいけません。 +IPアドレスと/、およびCIDRマスク長の間に空白を入れてはいけません。 @@ -525,7 +525,7 @@ IPv6書式の項目は、システムのCライブラリがIPv6アドレスを -これらのフィールドはlocalレコードには適用されません。 +これらのフィールドはlocalレコードに適用されません。 @@ -549,7 +549,7 @@ IPv6書式の項目は、システムのCライブラリがIPv6アドレスを --> 時折、ユーザは、クライアントのIPアドレスの逆引きを含む2つの名前解決が必要になる、というような一見複雑に見える方法でなぜホスト名が扱われるのか不思議に思うことがあります。 このため、クライアントの逆引きDNSエントリが設定されていなかったり、いくつかの望ましくないホスト名を生成する場合にこの機能の使用が複雑になります。 -これは主に効率のために行なわれます。このように、接続要求では最大2つのリゾルバの検索、1つは逆引き、1つは正引き、が必要になります。 +これは主に効率のために行われます。このように、接続要求では最大2つのリゾルバの検索、1つは逆引き、1つは正引き、が必要になります。 もしリゾルバにおいて、アドレスに問題があった場合、クライアントのみの問題となります。 正引き検索のみを行うような実装を仮に行っていると、全ての接続要求においてpg_hba.conf内に記載された全てのホスト名を解決しなくてはいけなくなります。 これは、多くの名前が列挙されていた場合にかなり遅くなります。 @@ -573,7 +573,7 @@ IPv6書式の項目は、システムのCライブラリがIPv6アドレスを Apache HTTP Server and TCP Wrappers. --> このふるまいは、Apache HTTPサーバやTCPラッパーのような他のよくあるホスト名ベースのアクセス制御の実装と -一致していることに注意して下さい。 +一致していることに注意してください。 @@ -602,7 +602,7 @@ IPv6書式の項目は、システムのCライブラリがIPv6アドレスを -これらのフィールドはlocalレコードには適用されません。 +これらのフィールドはlocalレコードに適用されません。 @@ -885,7 +885,7 @@ SSLクライアント証明書を使用して認証します。 the verification of client certificates with any authentication method that supports hostssl entries. --> -以下に示された方式特定のオプションに加えて、方式に依存しないのひとつの認証オプションclientcertがあり、hostsslレコードで指定することができます。 +以下に示された方式特定のオプションに加えて、方式に依存しないのひとつの認証オプションclientcertがあり、hostsslレコードで指定できます。 このオプションは、verify-caまたはverify-fullに設定できます。 どちらのオプションも、クライアントに有効な(信頼された)SSL証明書の提出を要求し、verify fullは、証明書のcn(Common Name)がユーザー名または適用可能なマッピングと一致することをさらに強制します。 この動作はcert認証方式(詳細はを参照してください)に似ていますが、クライアント証明書の検証をhostsslエントリをサポートする任意の認証方式と組み合わせることができます。 @@ -908,7 +908,7 @@ SSLクライアント証明書を使用して認証します。 format. To see the DN of a client certificate in this format, do --> -クライアント証明書認証を使用するすべてのレコード(つまり、cert認証方式あるいはclientcertオプションを使用している)では、clientnameオプションを使ってクライアント証明書資格情報のどの部分を照合するかを指定することができます。 +クライアント証明書認証を使用するすべてのレコード(つまり、cert認証方式あるいはclientcertオプションを使用している)では、clientnameオプションを使ってクライアント証明書資格情報のどの部分を照合するかを指定できます。 このオプションは2つの値のうち1つを持つことができます。 デフォルトであるclientname=CNを指定すると、ユーザ名は証明書のCommon Name (CN)と照合されます。 その代わりにclientname=DNを指定すると、ユーザ名は証明書のDistinguished Name (DN)全体と照合されます。 @@ -922,7 +922,7 @@ openssl x509 -in myclient.crt -noout --subject -nameopt RFC2253 | sed "s/^subjec Care needs to be taken when using this option, especially when using regular expression matching against the DN. --> -このオプションを使ってDNに対して正規表現を使って比較を行う際にはとりわけ注意が必要です。 +このオプションを使ってDNに対して正規表現を使った比較を行う際にはとりわけ注意が必要です。 @@ -987,7 +987,7 @@ openssl x509 -in myclient.crt -noout --subject -nameopt RFC2253 | sed "s/^subjec changes in the pg_hba.conf file are immediately applied by subsequent new connections. --> -上記はマイクロソフトWindowsに対しては当てはまりません。 +上記はマイクロソフトWindowsに対して当てはまりません。 つまり、pg_hba.confに対する変更は、ただちにそれ以降の新しい接続に反映されます。 @@ -1052,7 +1052,7 @@ local all all trust -# 上記と同じことをローカルループバックのTCP/IP接続を使って行なう。 +# 上記と同じことをローカルループバックのTCP/IP接続を使って行う。 # # TYPE DATABASE USER ADDRESS METHOD host all all 127.0.0.1/32 trust @@ -1068,7 +1068,7 @@ host all all 127.0.0.1 255.255.255.255 trus -# IPv6で上記と同じことを行なう。 +# IPv6で上記と同じことを行う。 # # TYPE DATABASE USER ADDRESS METHOD host all all ::1/128 trust @@ -1076,7 +1076,7 @@ host all all ::1/128 trust -# ホスト名を使用して上記と同じことを行なう(通常はIPv4とIPv6の両方をカバーします)。 +# ホスト名を使用して上記と同じことを行う(通常はIPv4とIPv6の両方をカバーします)。 # # TYPE DATABASE USER ADDRESS METHOD host all all localhost trust @@ -1221,7 +1221,7 @@ local db1,db2,@demodbs all md5 identやGSSAPIといった外部の認証システムを使用する場合は、接続を開始したオペレーティングシステムのユーザ名が接続先のデータベースユーザ(ロール)名と同じであるとは限りません。 ユーザ名マップを使用するには、pg_hba.conf内でmap=map-nameオプションを指定してください。 このオプションは、外部ユーザ名を受け取るすべての認証方式をサポートしています。 -異なる接続に対して、異なるマップが必要となる可能性があります。そのため、それぞれの接続に対して使用されるマップを指定するために、使用するマップの名称はpg_hba.conf内のmap-nameパラメータで指定されます。 +異なる接続に対して、異なるマップを必要とする可能性があります。そのため、それぞれの接続に対して使用されるマップを指定するために、使用するマップの名称はpg_hba.conf内のmap-nameパラメータで指定されます。 @@ -1514,7 +1514,7 @@ omicron bryanh guest1 relies on the BSD Authentication framework (currently available only on OpenBSD). --> -BSD認証は、BSD認証フレームワーク(現在はOpenBSDでのみ利用可能)に依存します。 +BSD認証は、BSD認証フレームワーク(現在はOpenBSDでのみ利用可能)に依存します。 @@ -1531,7 +1531,7 @@ omicron bryanh guest1 --> peer認証は、通常ローカル接続に推奨されますが、trust認証で十分な場合もあります。 パスワード認証は、リモート接続の最も簡単な選択肢です。 -その他のオプションはすべて、何らかの外部セキュリティ基盤(通常は、認証サーバやSSL証明書を発行するための認証局)を必要とするか、またはプラットフォーム固有のものです。 +その他のオプションはすべて、何らかの外部セキュリティ基盤(通常は、認証サーバやSSL証明書を発行するための認証局)を必要とするか、またはプラットフォーム固有のものです。 @@ -1581,7 +1581,7 @@ peer認証は、通常ローカル接続に推奨されますが、trust認証 configuration parameter to place the socket file in a suitably restricted directory. --> -trust認証はユーザが1人のみのワークステーション上でローカル接続を行う場合は適切であると同時に非常に便利です。 +trust認証はユーザが1人のみのワークステーション上でローカル接続を行う場合には適切であると同時に非常に便利です。 複数ユーザが存在するマシン上では一般的に適切ではありません。 とは言っても、ファイルシステムの許可属性を使ってサーバのUnixドメインソケットファイルへのアクセスを制限すればtrust認証を複数ユーザのマシン上で使用することも可能です。 その方法は、に記載されているようにunix_socket_permissions(およびunix_socket_groupパラメータの可能性もあります)パラメータを設定します。 @@ -1690,7 +1690,7 @@ TCP/IP接続におけるtrust認証は、trust md5方式は、独自のより安全性の低いチャレンジ/レスポンス機構を使います。 パスワードの漏洩を防ぎ、平文でパスワードをサーバに格納するのを避けることができますが、攻撃者がサーバからパスワードハッシュを盗むことを防ぐことはできません。 -また、MD5ハッシュアルゴリズムは、昨今では強い意志をもった攻撃に対しては安全ではないと考えられています。 +また、MD5ハッシュアルゴリズムは、昨今では強い意志をもった攻撃に対して安全ではないと考えられています。 @@ -1781,10 +1781,10 @@ TCP/IP接続におけるtrust認証は、trustによって制御されます。 パスワードがscram-sha-256によって暗号化されていれば、認証方式のscram-sha-256passwordで利用できます。 -(ただし、後者の場合にはパスワードの転送は平文になります。) +(ただし、後者の場合にはパスワードの転送が平文になります。) 前述のように、ここで認証方式のmd5を指定すると、scram-sha-256方式に自動的に切り替わります。 パスワードがmd5で暗号化されていると、md5passwordでのみ使用されます。 -(ここでも、後者の場合にはパスワードは平文で転送されます。) +(ここでも、後者の場合にはパスワードが平文で転送されます。) (以前のPostgreSQLのリリースでは、パスワードを平文で格納することをサポートしていました。 これはもはや不可能です。) 現在格納されているパスワードのハッシュを確認するには、システムカタログpg_authidを参照してください。 @@ -2005,8 +2005,8 @@ MIT互換のKerberos5実装のkadminツールを使 --> クライアントプリンシパルからデータベースユーザ名へのマッピングを許可します。 詳細はを参照してください。 -GSSAPI/Kerberosプリンシパルusername@EXAMPLE.COM(もしくは、あまり一般的ではありませんがusername/hostbased@EXAMPLE.COM)に対しては、もしinclude_realmが0に設定されていない限り、マッピングに使われるユーザ名はusername@EXAMPLE.COM(もしくはusername/hostbased@EXAMPLE.COM)です。 -0に設定されている場合には、username(もしくはusername/hostbased)がマッピング時のシステムユーザ名です。 +GSSAPI/Kerberosプリンシパルusername@EXAMPLE.COM(もしくは、あまり一般的ではありませんがusername/hostbased@EXAMPLE.COM)に対しては、もしinclude_realmが0に設定されていない限り、マッピングに使われるユーザ名はusername@EXAMPLE.COM(もしくはusername/hostbased@EXAMPLE.COM)です。 +0に設定されている場合には、username(もしくはusername/hostbased)がマッピング時のシステムユーザ名です。 @@ -2071,7 +2071,7 @@ realmをユーザプリンシパル名に一致するように設定します。 SSPIは、シングルサインオンで安全な認証を行うためのWindowsの技術です。 PostgreSQLは、negotiateモードにおいてSSPIを使用します。 これは、可能な場合はKerberosを使用し、他の場合については自動的にNTLMを使用することを意味しています。 -SSPI認証は、サーバ、クライアントが共にWindows上もしくはGSSAPIが利用可能な場合はWindowsではないプラットフォームで稼動しているときにのみ動作します。 +SSPI認証は、サーバ、クライアントが共にWindows上もしくはGSSAPIが利用可能な場合はWindowsではないプラットフォームで稼働しているときにのみ動作します。 @@ -2136,7 +2136,7 @@ realmをユーザプリンシパル名に一致するように設定します。 system) and all clients authenticating through SSPI are also using domain accounts, or authentication will fail. --> -ドメインアカウント(これはドメインメンバーシステムの仮想サービスアカウントを含みます)にて実行されているサーバで、SSPIで認証されているすべてのクライアントがドメインアカウントを使用してる場合を除き、このオプションを無効にしないでください。 +ドメインアカウント(これはドメインメンバーシステムの仮想サービスアカウントを含みます)にて実行されているサーバで、SSPIで認証されているすべてのクライアントがドメインアカウントを使用している場合を除き、このオプションを無効にしないでください。 さもなくば認証は失敗します。 @@ -2188,8 +2188,8 @@ realmをユーザプリンシパル名に一致するように設定します。 --> システムとデータベースユーザ名の間のマッピングを許可します。 詳細はを参照してください。 -SSPI/Kerberosプリンシパルusername@EXAMPLE.COM(もしくは、あまり一般的ではありませんがusername/hostbased@EXAMPLE.COM)に対しては、もしinclude_realmが0に設定されていない限り、マッピングに使われるユーザ名はusername@EXAMPLE.COM(もしくはusername/hostbased@EXAMPLE.COM)です。 -0に設定されている場合には、username(もしくはusername/hostbased)がマッピング時のシステムユーザ名です。 +SSPI/Kerberosプリンシパルusername@EXAMPLE.COM(もしくは、あまり一般的ではありませんがusername/hostbased@EXAMPLE.COM)に対しては、もしinclude_realmが0に設定されていない限り、マッピングに使われるユーザ名はusername@EXAMPLE.COM(もしくはusername/hostbased@EXAMPLE.COM)です。 +0に設定されている場合には、username(もしくはusername/hostbased)がマッピング時のシステムユーザ名です。 @@ -2427,7 +2427,7 @@ LDAPはユーザの名前とパスワードの組み合わせの検証のみに Directory environment. suffix is used to specify the remaining part of the DN in a non-Active Directory environment. --> -LDAP認証は2つのモードで動作します。1つ目のモードでは、それは単なるバインド・モードを呼び出すものですが、 +LDAP認証は2つのモードで動作します。1つ目のモードでは、それは単なるバインド・モードを呼びだすものですが、 サーバはprefix username suffixとして区別された名前にバインドします。 一般的に、prefixパラメータはActive Directory環境でのcn=DOMAIN\を特定するために使用されます。 suffixは、Active Directory環境ではない場合でのDNの残りの部分を特定するために使用されます。 @@ -2453,7 +2453,7 @@ LDAP認証は2つのモードで動作します。1つ目のモードでは、 in where the user objects are located in the directory, but will cause two separate connections to the LDAP server to be made. --> -2つ目のモードでは、それはsearch+bindモードを呼び出すもので、サーバは最初にldapbinddnldapbindpasswdで指定された、 +2つ目のモードでは、それはsearch+bindモードを呼びだすもので、サーバは最初にldapbinddnldapbindpasswdで指定された、 固定されたユーザ名とパスワードを使用してLDAPディレクトリにバインドします。 それからデータベースにログインしようとしているユーザを検索します。 もしユーザとパスワードが指定されていなかった場合は、ディレクトリに対して匿名でバインドします。 @@ -2523,7 +2523,7 @@ LDAPライブラリ内のデフォルトポート設定が使用されます。 --> 1に設定すると、PostgreSQLとLDAPサーバ間の接続にTLSによる暗号化を使用します。 これはRFC 4513StartTLS操作を使用します。 -代替方法については、ldapschemeオプションも参照して下さい。 +代替方法については、ldapschemeオプションも参照してください。 @@ -2538,7 +2538,7 @@ LDAPライブラリ内のデフォルトポート設定が使用されます。 PostgreSQL server and the PostgreSQL client will still be unencrypted unless SSL is used there as well. --> -ldapschemeldaptlsを使うときにはPostgreSQLサーバとLDAPサーバ間のトラフィックのみが暗号化されることに注意して下さい。 +ldapschemeldaptlsを使うときにはPostgreSQLサーバとLDAPサーバ間のトラフィックのみが暗号化されることに注意してください。 SSLがそこでも使用されていない限り、PostgreSQLサーバとPostgreSQLクライアントとの接続は、暗号化されません。 @@ -2676,7 +2676,7 @@ ldap[s]://host[:port]/scopeはbaseonesubのいずれかでなくてはならず、一般的には最後のものです。 (デフォルトはbaseです。これは通常このアプリケーションでは役に立ちません。) attributeは単一の属性を指定できます。その場合、それはldapsearchattributeの値として使用されます。 -もしattributeが空の場合は、ldapsearchfilterの値としてfilterを使用することができます。 +もしattributeが空の場合は、ldapsearchfilterの値としてfilterを使用できます。 @@ -2789,7 +2789,7 @@ host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapse bind using that found information and the password supplied by the client. If that second connection succeeds, the database access is granted. --> -データベースユーザsomeuserとしてデータベースに接続するとき、PostgreSQLは(ldapbinddnが指定されていないので)匿名的にバインドを試み、指定されたベースDNの基で(uid=someuser)の検索を行います。あるエントリが見つかると、見つかった情報とクライアントから与えられたパスワードを用いて、その結果バインドを試みます。その二番目の接続が成功するとデータベースアクセスが認められます。 +データベースユーザsomeuserとしてデータベースに接続するとき、PostgreSQLは(ldapbinddnが指定されていないので)匿名的にバインドを試み、指定されたベースDNの基で(uid=someuser)の検索を行います。あるエントリが見つかると、見つかった情報とクライアントから与えられたパスワードを用いて、その結果バインドを試みます。その二番目の接続が成功するとデータベースアクセスを認められます。 @@ -2804,8 +2804,8 @@ host ... ldap ldapurl="ldap://ldap.example.net/dc=example,dc=net?uid?sub" Some other software that supports authentication against LDAP uses the same URL format, so it will be easier to share the configuration. --> -LDAPに対し認証をサポートする幾つかの他のソフトウェアは同じURLフォーマットを使用します。 -従って、設定をより簡易に共有することができます。 +LDAPに対し認証をサポートするいくつかの他のソフトウェアは同じURLフォーマットを使用します。 +従って、設定をより簡易に共有できます。 @@ -2883,7 +2883,7 @@ RADIUSはユーザ名/パスワードの組のみを検証するために使用 Access Reject. There is no support for RADIUS accounting. --> RADIUS認証を使用する場合に、設定されたRADIUSサーバにアクセスリクエストメッセージが送信されます。 -このリクエストはAuthenticate Onlyの形式になり、ユーザ名, (暗号化された)パスワードNAS Identifierを含んでいます。 +このリクエストはAuthenticate Onlyの形式になり、ユーザ名、(暗号化された)パスワードNAS Identifierを含んでいます。 リクエストはサーバと共有している秘密を用いて暗号化されます。 RADIUSサーバは、このリクエストに対してAccess AcceptもしくはAccess Rejectを返します。 RADIUSアカウントのサポートはありません。 @@ -2905,7 +2905,7 @@ RADIUSアカウントのサポートはありません。 サーバから負の応答があると、認証は失敗します。 サーバから応答がない場合は、リスト内の次のサーバが試されます。 複数のサーバを指定するには、サーバ名をカンマで区切り、リストを二重引用符で囲みます。 -複数のサーバを指定した場合は、別のRADIUSオプションをカンマ区切りのリストとして指定して、各サーバの値を個別に指定することもできます。 +複数のサーバを指定したい場合は、別のRADIUSオプションをカンマ区切りのリストとして指定して、各サーバの値を個別に指定することもできます。 オプションは単一の値としても指定でき、その場合にはこの値がすべてのサーバに対して適用されます。 From d79b86784be9333662bb5336612d872d18d53b9a Mon Sep 17 00:00:00 2001 From: Koichi Ito Date: Sun, 16 Jul 2023 17:06:03 +0900 Subject: [PATCH 2/3] =?UTF-8?q?PullRequest=E3=81=AB=E5=AF=BE=E3=81=99?= =?UTF-8?q?=E3=82=8B=E3=81=94=E6=8C=87=E6=91=98=E3=81=AB=E5=AF=BE=E5=BF=9C?= =?UTF-8?q?=E3=81=97=E3=81=BE=E3=81=97=E3=81=9F=E3=80=82=20=E3=83=BB?= =?UTF-8?q?=E3=80=8C=E8=A4=87=E6=95=B0=E3=81=AE=E3=82=B5=E3=83=BC=E3=83=90?= =?UTF-8?q?=E3=82=92=E6=8C=87=E5=AE=9A=E3=81=97=E3=81=9F=E3=81=84=E5=A0=B4?= =?UTF-8?q?=E5=90=88=E3=81=AF=E3=80=8D=E2=87=92=E3=80=8C=E8=A4=87=E6=95=B0?= =?UTF-8?q?=E3=81=AE=E3=82=B5=E3=83=BC=E3=83=90=E3=82=92=E6=8C=87=E5=AE=9A?= =?UTF-8?q?=E3=81=97=E3=81=9F=E5=A0=B4=E5=90=88=E3=81=AF=E3=80=8D=20?= =?UTF-8?q?=E3=83=BB=E3=80=8C=E5=91=BC=E3=81=B3=E3=81=A0=E3=81=99=E3=80=8D?= =?UTF-8?q?=E2=87=92=E3=80=8C=E5=91=BC=E3=81=B3=E5=87=BA=E3=81=99=E3=80=8D?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- doc/src/sgml/client-auth.sgml | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/doc/src/sgml/client-auth.sgml b/doc/src/sgml/client-auth.sgml index f0ed86ed9b0..c7cab57c5c5 100644 --- a/doc/src/sgml/client-auth.sgml +++ b/doc/src/sgml/client-auth.sgml @@ -2427,7 +2427,7 @@ LDAPはユーザの名前とパスワードの組み合わせの検証のみに Directory environment. suffix is used to specify the remaining part of the DN in a non-Active Directory environment. --> -LDAP認証は2つのモードで動作します。1つ目のモードでは、それは単なるバインド・モードを呼びだすものですが、 +LDAP認証は2つのモードで動作します。1つ目のモードでは、それは単なるバインド・モードを呼び出すものですが、 サーバはprefix username suffixとして区別された名前にバインドします。 一般的に、prefixパラメータはActive Directory環境でのcn=DOMAIN\を特定するために使用されます。 suffixは、Active Directory環境ではない場合でのDNの残りの部分を特定するために使用されます。 @@ -2453,7 +2453,7 @@ LDAP認証は2つのモードで動作します。1つ目のモードでは、 in where the user objects are located in the directory, but will cause two separate connections to the LDAP server to be made. --> -2つ目のモードでは、それはsearch+bindモードを呼びだすもので、サーバは最初にldapbinddnldapbindpasswdで指定された、 +2つ目のモードでは、それはsearch+bindモードを呼び出すもので、サーバは最初にldapbinddnldapbindpasswdで指定された、 固定されたユーザ名とパスワードを使用してLDAPディレクトリにバインドします。 それからデータベースにログインしようとしているユーザを検索します。 もしユーザとパスワードが指定されていなかった場合は、ディレクトリに対して匿名でバインドします。 @@ -2905,7 +2905,7 @@ RADIUSアカウントのサポートはありません。 サーバから負の応答があると、認証は失敗します。 サーバから応答がない場合は、リスト内の次のサーバが試されます。 複数のサーバを指定するには、サーバ名をカンマで区切り、リストを二重引用符で囲みます。 -複数のサーバを指定したい場合は、別のRADIUSオプションをカンマ区切りのリストとして指定して、各サーバの値を個別に指定することもできます。 +複数のサーバを指定した場合は、別のRADIUSオプションをカンマ区切りのリストとして指定して、各サーバの値を個別に指定することもできます。 オプションは単一の値としても指定でき、その場合にはこの値がすべてのサーバに対して適用されます。 From 77bd9f43e523673b2842709e75fd3abe4444dab5 Mon Sep 17 00:00:00 2001 From: Koichi Ito Date: Wed, 19 Jul 2023 07:44:25 +0900 Subject: [PATCH 3/3] =?UTF-8?q?PullRequest=E3=81=AB=E5=AF=BE=E3=81=99?= =?UTF-8?q?=E3=82=8B=E3=82=B3=E3=83=A1=E3=83=B3=E3=83=88=E3=81=AB=E5=AF=BE?= =?UTF-8?q?=E5=BF=9C=E3=81=97=E3=81=BE=E3=81=97=E3=81=9F=E3=80=82=20https:?= =?UTF-8?q?//github.com/pgsql-jp/jpug-doc/pull/2664#discussion=5Fr12659810?= =?UTF-8?q?24?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- doc/src/sgml/client-auth.sgml | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/doc/src/sgml/client-auth.sgml b/doc/src/sgml/client-auth.sgml index c7cab57c5c5..520f84b2597 100644 --- a/doc/src/sgml/client-auth.sgml +++ b/doc/src/sgml/client-auth.sgml @@ -1581,7 +1581,7 @@ peer認証は、通常ローカル接続に推奨されますが、trust認証 configuration parameter to place the socket file in a suitably restricted directory. --> -trust認証はユーザが1人のみのワークステーション上でローカル接続を行う場合には適切であると同時に非常に便利です。 +trust認証はユーザが1人のみのワークステーション上でローカル接続を行う場合に適切で非常に便利です。 複数ユーザが存在するマシン上では一般的に適切ではありません。 とは言っても、ファイルシステムの許可属性を使ってサーバのUnixドメインソケットファイルへのアクセスを制限すればtrust認証を複数ユーザのマシン上で使用することも可能です。 その方法は、に記載されているようにunix_socket_permissions(およびunix_socket_groupパラメータの可能性もあります)パラメータを設定します。