← Back to branch summary

~ubuntu-branches/ubuntu/oneiric/postgresql-9.1/oneiric-security

« back to all changes in this revision

Viewing changes to doc/src/sgml/html/runtime-config-connection.html

  • Committer: Bazaar Package Importer
  • Author(s): Martin Pitt
  • Date: 2011-05-11 10:41:53 UTC
  • Revision ID: james.westby@ubuntu.com-20110511104153-psbh2o58553fv1m0
Tags: upstream-9.1~beta1
ImportĀ upstreamĀ versionĀ 9.1~beta1

Show diffs side-by-side

added added

removed removed

Lines of Context:
doc/src/sgml/html/runtime-config-connection.html
 
1
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
 
2
<HTML
 
3
><HEAD
 
4
><TITLE
 
5
>Connections and Authentication</TITLE
 
6
><META
 
7
NAME="GENERATOR"
 
8
CONTENT="Modular DocBook HTML Stylesheet Version 1.79"><LINK
 
9
REV="MADE"
 
10
HREF="mailto:pgsql-docs@postgresql.org"><LINK
 
11
REL="HOME"
 
12
TITLE="PostgreSQL 9.1beta1 Documentation"
 
13
HREF="index.html"><LINK
 
14
REL="UP"
 
15
TITLE="Server Configuration"
 
16
HREF="runtime-config.html"><LINK
 
17
REL="PREVIOUS"
 
18
TITLE="File Locations"
 
19
HREF="runtime-config-file-locations.html"><LINK
 
20
REL="NEXT"
 
21
TITLE="Resource Consumption"
 
22
HREF="runtime-config-resource.html"><LINK
 
23
REL="STYLESHEET"
 
24
TYPE="text/css"
 
25
HREF="stylesheet.css"><META
 
26
HTTP-EQUIV="Content-Type"
 
27
CONTENT="text/html; charset=ISO-8859-1"><META
 
28
NAME="creation"
 
29
CONTENT="2011-04-27T21:20:33"></HEAD
 
30
><BODY
 
31
CLASS="SECT1"
 
32
><DIV
 
33
CLASS="NAVHEADER"
 
34
><TABLE
 
35
SUMMARY="Header navigation table"
 
36
WIDTH="100%"
 
37
BORDER="0"
 
38
CELLPADDING="0"
 
39
CELLSPACING="0"
 
40
><TR
 
41
><TH
 
42
COLSPAN="5"
 
43
ALIGN="center"
 
44
VALIGN="bottom"
 
45
><A
 
46
HREF="index.html"
 
47
>PostgreSQL 9.1beta1 Documentation</A
 
48
></TH
 
49
></TR
 
50
><TR
 
51
><TD
 
52
WIDTH="10%"
 
53
ALIGN="left"
 
54
VALIGN="top"
 
55
><A
 
56
TITLE="File Locations"
 
57
HREF="runtime-config-file-locations.html"
 
58
ACCESSKEY="P"
 
59
>Prev</A
 
60
></TD
 
61
><TD
 
62
WIDTH="10%"
 
63
ALIGN="left"
 
64
VALIGN="top"
 
65
><A
 
66
TITLE="Server Configuration"
 
67
HREF="runtime-config.html"
 
68
>Fast Backward</A
 
69
></TD
 
70
><TD
 
71
WIDTH="60%"
 
72
ALIGN="center"
 
73
VALIGN="bottom"
 
74
>Chapter 18. Server Configuration</TD
 
75
><TD
 
76
WIDTH="10%"
 
77
ALIGN="right"
 
78
VALIGN="top"
 
79
><A
 
80
TITLE="Server Configuration"
 
81
HREF="runtime-config.html"
 
82
>Fast Forward</A
 
83
></TD
 
84
><TD
 
85
WIDTH="10%"
 
86
ALIGN="right"
 
87
VALIGN="top"
 
88
><A
 
89
TITLE="Resource Consumption"
 
90
HREF="runtime-config-resource.html"
 
91
ACCESSKEY="N"
 
92
>Next</A
 
93
></TD
 
94
></TR
 
95
></TABLE
 
96
><HR
 
97
ALIGN="LEFT"
 
98
WIDTH="100%"></DIV
 
99
><DIV
 
100
CLASS="SECT1"
 
101
><H1
 
102
CLASS="SECT1"
 
103
><A
 
104
NAME="RUNTIME-CONFIG-CONNECTION"
 
105
>18.3. Connections and Authentication</A
 
106
></H1
 
107
><DIV
 
108
CLASS="SECT2"
 
109
><H2
 
110
CLASS="SECT2"
 
111
><A
 
112
NAME="RUNTIME-CONFIG-CONNECTION-SETTINGS"
 
113
>18.3.1. Connection Settings</A
 
114
></H2
 
115
><P
 
116
></P
 
117
><DIV
 
118
CLASS="VARIABLELIST"
 
119
><DL
 
120
><DT
 
121
><A
 
122
NAME="GUC-LISTEN-ADDRESSES"
 
123
></A
 
124
><TT
 
125
CLASS="VARNAME"
 
126
>listen_addresses</TT
 
127
> (<TT
 
128
CLASS="TYPE"
 
129
>string</TT
 
130
>)</DT
 
131
><DD
 
132
><P
 
133
>         Specifies the TCP/IP address(es) on which the server is
 
134
         to listen for connections from client applications.
 
135
         The value takes the form of a comma-separated list of host names
 
136
         and/or numeric IP addresses.  The special entry <TT
 
137
CLASS="LITERAL"
 
138
>*</TT
 
139
>
 
140
         corresponds to all available IP interfaces.  The entry
 
141
         <TT
 
142
CLASS="LITERAL"
 
143
>0.0.0.0</TT
 
144
> allows listening for all IPv4 addresses and
 
145
         <TT
 
146
CLASS="LITERAL"
 
147
>::</TT
 
148
> allows listening for all IPv6 addresses.
 
149
         If the list is empty, the server does not listen on any IP interface
 
150
         at all, in which case only Unix-domain sockets can be used to connect
 
151
         to it.
 
152
         The default value is <SPAN
 
153
CLASS="SYSTEMITEM"
 
154
>localhost</SPAN
 
155
>,
 
156
         which allows only local TCP/IP <SPAN
 
157
CLASS="QUOTE"
 
158
>"loopback"</SPAN
 
159
> connections to be
 
160
         made.  While client authentication (<A
 
161
HREF="client-authentication.html"
 
162
>Chapter 19</A
 
163
>) allows fine-grained control
 
164
         over who can access the server, <TT
 
165
CLASS="VARNAME"
 
166
>listen_addresses</TT
 
167
>
 
168
         controls which interfaces accept connection attempts, which
 
169
         can help prevent repeated malicious connection requests on
 
170
         insecure network interfaces.  This parameter can only be set
 
171
         at server start.
 
172
       </P
 
173
></DD
 
174
><DT
 
175
><A
 
176
NAME="GUC-PORT"
 
177
></A
 
178
><TT
 
179
CLASS="VARNAME"
 
180
>port</TT
 
181
> (<TT
 
182
CLASS="TYPE"
 
183
>integer</TT
 
184
>)</DT
 
185
><DD
 
186
><P
 
187
>        The TCP port the server listens on; 5432 by default.  Note that the
 
188
        same port number is used for all IP addresses the server listens on.
 
189
        This parameter can only be set at server start.
 
190
       </P
 
191
></DD
 
192
><DT
 
193
><A
 
194
NAME="GUC-MAX-CONNECTIONS"
 
195
></A
 
196
><TT
 
197
CLASS="VARNAME"
 
198
>max_connections</TT
 
199
> (<TT
 
200
CLASS="TYPE"
 
201
>integer</TT
 
202
>)</DT
 
203
><DD
 
204
><P
 
205
>        Determines the maximum number of concurrent connections to the
 
206
        database server. The default is typically 100 connections, but
 
207
        might be less if your kernel settings will not support it (as
 
208
        determined during <SPAN
 
209
CLASS="APPLICATION"
 
210
>initdb</SPAN
 
211
>).  This parameter can
 
212
        only be set at server start.
 
213
       </P
 
214
><P
 
215
>        Increasing this parameter might cause <SPAN
 
216
CLASS="PRODUCTNAME"
 
217
>PostgreSQL</SPAN
 
218
>
 
219
        to request more <SPAN
 
220
CLASS="SYSTEMITEM"
 
221
>System V</SPAN
 
222
> shared
 
223
        memory or semaphores than your operating system's default configuration
 
224
        allows. See <A
 
225
HREF="kernel-resources.html#SYSVIPC"
 
226
>Section 17.4.1</A
 
227
> for information on how to
 
228
        adjust those parameters, if necessary.
 
229
       </P
 
230
><P
 
231
>        When running a standby server, you must set this parameter to the
 
232
        same or higher value than on the master server. Otherwise, queries
 
233
        will not be allowed in the standby server.
 
234
       </P
 
235
></DD
 
236
><DT
 
237
><A
 
238
NAME="GUC-SUPERUSER-RESERVED-CONNECTIONS"
 
239
></A
 
240
><TT
 
241
CLASS="VARNAME"
 
242
>superuser_reserved_connections</TT
 
243
>
 
244
      (<TT
 
245
CLASS="TYPE"
 
246
>integer</TT
 
247
>)</DT
 
248
><DD
 
249
><P
 
250
>        Determines the number of connection <SPAN
 
251
CLASS="QUOTE"
 
252
>"slots"</SPAN
 
253
> that
 
254
        are reserved for connections by <SPAN
 
255
CLASS="PRODUCTNAME"
 
256
>PostgreSQL</SPAN
 
257
>
 
258
        superusers.  At most <A
 
259
HREF="runtime-config-connection.html#GUC-MAX-CONNECTIONS"
 
260
>max_connections</A
 
261
>
 
262
        connections can ever be active simultaneously.  Whenever the
 
263
        number of active concurrent connections is at least
 
264
        <TT
 
265
CLASS="VARNAME"
 
266
>max_connections</TT
 
267
> minus
 
268
        <TT
 
269
CLASS="VARNAME"
 
270
>superuser_reserved_connections</TT
 
271
>, new
 
272
        connections will be accepted only for superusers, and no
 
273
        new replication connections will be accepted.
 
274
       </P
 
275
><P
 
276
>        The default value is three connections. The value must be less
 
277
        than the value of <TT
 
278
CLASS="VARNAME"
 
279
>max_connections</TT
 
280
>. This
 
281
        parameter can only be set at server start.
 
282
       </P
 
283
></DD
 
284
><DT
 
285
><A
 
286
NAME="GUC-UNIX-SOCKET-DIRECTORY"
 
287
></A
 
288
><TT
 
289
CLASS="VARNAME"
 
290
>unix_socket_directory</TT
 
291
> (<TT
 
292
CLASS="TYPE"
 
293
>string</TT
 
294
>)</DT
 
295
><DD
 
296
><P
 
297
>        Specifies the directory of the Unix-domain socket on which the
 
298
        server is to listen for
 
299
        connections from client applications.  The default is normally
 
300
        <TT
 
301
CLASS="FILENAME"
 
302
>/tmp</TT
 
303
>, but can be changed at build time.
 
304
        This parameter can only be set at server start.
 
305
       </P
 
306
><P
 
307
>        In addition to the socket file itself, which is named
 
308
        <TT
 
309
CLASS="LITERAL"
 
310
>.s.PGSQL.<TT
 
311
CLASS="REPLACEABLE"
 
312
><I
 
313
>nnnn</I
 
314
></TT
 
315
></TT
 
316
> where
 
317
        <TT
 
318
CLASS="REPLACEABLE"
 
319
><I
 
320
>nnnn</I
 
321
></TT
 
322
> is the server's port number, an ordinary file
 
323
        named <TT
 
324
CLASS="LITERAL"
 
325
>.s.PGSQL.<TT
 
326
CLASS="REPLACEABLE"
 
327
><I
 
328
>nnnn</I
 
329
></TT
 
330
>.lock</TT
 
331
> will be
 
332
        created in the <TT
 
333
CLASS="VARNAME"
 
334
>unix_socket_directory</TT
 
335
> directory.  Neither
 
336
        file should ever be removed manually.
 
337
       </P
 
338
><P
 
339
>        This parameter is irrelevant on Windows, which does not have
 
340
        Unix-domain sockets.
 
341
       </P
 
342
></DD
 
343
><DT
 
344
><A
 
345
NAME="GUC-UNIX-SOCKET-GROUP"
 
346
></A
 
347
><TT
 
348
CLASS="VARNAME"
 
349
>unix_socket_group</TT
 
350
> (<TT
 
351
CLASS="TYPE"
 
352
>string</TT
 
353
>)</DT
 
354
><DD
 
355
><P
 
356
>        Sets the owning group of the Unix-domain socket.  (The owning
 
357
        user of the socket is always the user that starts the
 
358
        server.)  In combination with the parameter
 
359
        <TT
 
360
CLASS="VARNAME"
 
361
>unix_socket_permissions</TT
 
362
> this can be used as
 
363
        an additional access control mechanism for Unix-domain connections.
 
364
        By default this is the empty string, which uses the default
 
365
        group of the server user.  This parameter can only be set at
 
366
        server start.
 
367
       </P
 
368
><P
 
369
>        This parameter is irrelevant on Windows, which does not have
 
370
        Unix-domain sockets.
 
371
       </P
 
372
></DD
 
373
><DT
 
374
><A
 
375
NAME="GUC-UNIX-SOCKET-PERMISSIONS"
 
376
></A
 
377
><TT
 
378
CLASS="VARNAME"
 
379
>unix_socket_permissions</TT
 
380
> (<TT
 
381
CLASS="TYPE"
 
382
>integer</TT
 
383
>)</DT
 
384
><DD
 
385
><P
 
386
>        Sets the access permissions of the Unix-domain socket.  Unix-domain
 
387
        sockets use the usual Unix file system permission set.
 
388
        The parameter value is expected to be a numeric mode
 
389
        specified in the format accepted by the
 
390
        <CODE
 
391
CLASS="FUNCTION"
 
392
>chmod</CODE
 
393
> and <CODE
 
394
CLASS="FUNCTION"
 
395
>umask</CODE
 
396
>
 
397
        system calls.  (To use the customary octal format the number
 
398
        must start with a <TT
 
399
CLASS="LITERAL"
 
400
>0</TT
 
401
> (zero).)
 
402
       </P
 
403
><P
 
404
>        The default permissions are <TT
 
405
CLASS="LITERAL"
 
406
>0777</TT
 
407
>, meaning
 
408
        anyone can connect. Reasonable alternatives are
 
409
        <TT
 
410
CLASS="LITERAL"
 
411
>0770</TT
 
412
> (only user and group, see also
 
413
        <TT
 
414
CLASS="VARNAME"
 
415
>unix_socket_group</TT
 
416
>) and <TT
 
417
CLASS="LITERAL"
 
418
>0700</TT
 
419
>
 
420
        (only user). (Note that for a Unix-domain socket, only write
 
421
        permission matters, so there is no point in setting or revoking
 
422
        read or execute permissions.)
 
423
       </P
 
424
><P
 
425
>        This access control mechanism is independent of the one
 
426
        described in <A
 
427
HREF="client-authentication.html"
 
428
>Chapter 19</A
 
429
>.
 
430
       </P
 
431
><P
 
432
>        This parameter can only be set at server start.
 
433
       </P
 
434
><P
 
435
>        This parameter is irrelevant on Windows, which does not have
 
436
        Unix-domain sockets.
 
437
       </P
 
438
></DD
 
439
><DT
 
440
><A
 
441
NAME="GUC-BONJOUR"
 
442
></A
 
443
><TT
 
444
CLASS="VARNAME"
 
445
>bonjour</TT
 
446
> (<TT
 
447
CLASS="TYPE"
 
448
>boolean</TT
 
449
>)</DT
 
450
><DD
 
451
><P
 
452
>        Enables advertising the server's existence via
 
453
        <SPAN
 
454
CLASS="PRODUCTNAME"
 
455
>Bonjour</SPAN
 
456
>.  The default is off.
 
457
        This parameter can only be set at server start.
 
458
       </P
 
459
></DD
 
460
><DT
 
461
><A
 
462
NAME="GUC-BONJOUR-NAME"
 
463
></A
 
464
><TT
 
465
CLASS="VARNAME"
 
466
>bonjour_name</TT
 
467
> (<TT
 
468
CLASS="TYPE"
 
469
>string</TT
 
470
>)</DT
 
471
><DD
 
472
><P
 
473
>        Specifies the <SPAN
 
474
CLASS="PRODUCTNAME"
 
475
>Bonjour</SPAN
 
476
> service
 
477
        name.  The computer name is used if this parameter is set to the
 
478
        empty string <TT
 
479
CLASS="LITERAL"
 
480
>''</TT
 
481
> (which is the default).  This parameter is
 
482
        ignored if the server was not compiled with
 
483
        <SPAN
 
484
CLASS="PRODUCTNAME"
 
485
>Bonjour</SPAN
 
486
> support.
 
487
        This parameter can only be set at server start.
 
488
       </P
 
489
></DD
 
490
><DT
 
491
><A
 
492
NAME="GUC-TCP-KEEPALIVES-IDLE"
 
493
></A
 
494
><TT
 
495
CLASS="VARNAME"
 
496
>tcp_keepalives_idle</TT
 
497
> (<TT
 
498
CLASS="TYPE"
 
499
>integer</TT
 
500
>)</DT
 
501
><DD
 
502
><P
 
503
>        Specifies the number of seconds before sending a keepalive packet on
 
504
        an otherwise idle connection.  A value of 0 uses the system default.
 
505
        This parameter is supported only on systems that support the
 
506
        <TT
 
507
CLASS="SYMBOL"
 
508
>TCP_KEEPIDLE</TT
 
509
> or <TT
 
510
CLASS="SYMBOL"
 
511
>TCP_KEEPALIVE</TT
 
512
> symbols, and on
 
513
        Windows; on other systems, it must be zero. This parameter is ignored
 
514
        for connections made via a Unix-domain socket.
 
515
       </P
 
516
><DIV
 
517
CLASS="NOTE"
 
518
><BLOCKQUOTE
 
519
CLASS="NOTE"
 
520
><P
 
521
><B
 
522
>Note: </B
 
523
>         On Windows, a value of 0 will set this parameter to 2 hours,
 
524
         since Windows does not provide a way to read the system default value.
 
525
        </P
 
526
></BLOCKQUOTE
 
527
></DIV
 
528
></DD
 
529
><DT
 
530
><A
 
531
NAME="GUC-TCP-KEEPALIVES-INTERVAL"
 
532
></A
 
533
><TT
 
534
CLASS="VARNAME"
 
535
>tcp_keepalives_interval</TT
 
536
> (<TT
 
537
CLASS="TYPE"
 
538
>integer</TT
 
539
>)</DT
 
540
><DD
 
541
><P
 
542
>        Specifies the number of seconds between sending keepalives on an
 
543
        otherwise idle connection.  A value of 0 uses the system default.
 
544
        This parameter is supported only on systems that support the
 
545
        <TT
 
546
CLASS="SYMBOL"
 
547
>TCP_KEEPINTVL</TT
 
548
> symbol, and on Windows; on other systems, it
 
549
        must be zero. This parameter is ignored for connections made via a
 
550
        Unix-domain socket.
 
551
       </P
 
552
><DIV
 
553
CLASS="NOTE"
 
554
><BLOCKQUOTE
 
555
CLASS="NOTE"
 
556
><P
 
557
><B
 
558
>Note: </B
 
559
>         On Windows, a value of 0 will set this parameter to 1 second,
 
560
         since Windows does not provide a way to read the system default value.
 
561
        </P
 
562
></BLOCKQUOTE
 
563
></DIV
 
564
></DD
 
565
><DT
 
566
><A
 
567
NAME="GUC-TCP-KEEPALIVES-COUNT"
 
568
></A
 
569
><TT
 
570
CLASS="VARNAME"
 
571
>tcp_keepalives_count</TT
 
572
> (<TT
 
573
CLASS="TYPE"
 
574
>integer</TT
 
575
>)</DT
 
576
><DD
 
577
><P
 
578
>        Specifies the number of keepalive packets to send on an otherwise idle
 
579
        connection.  A value of 0 uses the system default.  This parameter is
 
580
        supported only on systems that support the <TT
 
581
CLASS="SYMBOL"
 
582
>TCP_KEEPCNT</TT
 
583
>
 
584
        symbol; on other systems, it must be zero. This parameter is ignored
 
585
        for connections made via a Unix-domain socket.
 
586
       </P
 
587
><DIV
 
588
CLASS="NOTE"
 
589
><BLOCKQUOTE
 
590
CLASS="NOTE"
 
591
><P
 
592
><B
 
593
>Note: </B
 
594
>         This parameter is not supported on Windows, and must be zero.
 
595
        </P
 
596
></BLOCKQUOTE
 
597
></DIV
 
598
></DD
 
599
></DL
 
600
></DIV
 
601
></DIV
 
602
><DIV
 
603
CLASS="SECT2"
 
604
><H2
 
605
CLASS="SECT2"
 
606
><A
 
607
NAME="RUNTIME-CONFIG-CONNECTION-SECURITY"
 
608
>18.3.2. Security and Authentication</A
 
609
></H2
 
610
><P
 
611
></P
 
612
><DIV
 
613
CLASS="VARIABLELIST"
 
614
><DL
 
615
><DT
 
616
><A
 
617
NAME="GUC-AUTHENTICATION-TIMEOUT"
 
618
></A
 
619
><TT
 
620
CLASS="VARNAME"
 
621
>authentication_timeout</TT
 
622
> (<TT
 
623
CLASS="TYPE"
 
624
>integer</TT
 
625
>)</DT
 
626
><DD
 
627
><P
 
628
>        Maximum time to complete client authentication, in seconds. If a
 
629
        would-be client has not completed the authentication protocol in
 
630
        this much time, the server closes the connection. This prevents
 
631
        hung clients from occupying a connection indefinitely.
 
632
        The default is one minute (<TT
 
633
CLASS="LITERAL"
 
634
>1m</TT
 
635
>).
 
636
        This parameter can only be set in the <TT
 
637
CLASS="FILENAME"
 
638
>postgresql.conf</TT
 
639
>
 
640
        file or on the server command line.
 
641
       </P
 
642
></DD
 
643
><DT
 
644
><A
 
645
NAME="GUC-SSL"
 
646
></A
 
647
><TT
 
648
CLASS="VARNAME"
 
649
>ssl</TT
 
650
> (<TT
 
651
CLASS="TYPE"
 
652
>boolean</TT
 
653
>)</DT
 
654
><DD
 
655
><P
 
656
>        Enables <ACRONYM
 
657
CLASS="ACRONYM"
 
658
>SSL</ACRONYM
 
659
> connections. Please read
 
660
        <A
 
661
HREF="ssl-tcp.html"
 
662
>Section 17.9</A
 
663
> before using this. The default
 
664
        is <TT
 
665
CLASS="LITERAL"
 
666
>off</TT
 
667
>. This parameter can only be set at server
 
668
        start.  <ACRONYM
 
669
CLASS="ACRONYM"
 
670
>SSL</ACRONYM
 
671
> communication is only possible with
 
672
        TCP/IP connections.
 
673
       </P
 
674
></DD
 
675
><DT
 
676
><A
 
677
NAME="GUC-SSL-RENEGOTIATION-LIMIT"
 
678
></A
 
679
><TT
 
680
CLASS="VARNAME"
 
681
>ssl_renegotiation_limit</TT
 
682
> (<TT
 
683
CLASS="TYPE"
 
684
>integer</TT
 
685
>)</DT
 
686
><DD
 
687
><P
 
688
>        Specifies how much data can flow over an <ACRONYM
 
689
CLASS="ACRONYM"
 
690
>SSL</ACRONYM
 
691
>-encrypted
 
692
        connection before renegotiation of the session keys will take
 
693
        place. Renegotiation decreases an attacker's chances of doing
 
694
        cryptanalysis when large amounts of traffic can be examined, but it
 
695
        also carries a large performance penalty. The sum of sent and received
 
696
        traffic is used to check the limit. If this parameter is set to 0,
 
697
        renegotiation is disabled. The default is <TT
 
698
CLASS="LITERAL"
 
699
>512MB</TT
 
700
>.
 
701
       </P
 
702
><DIV
 
703
CLASS="NOTE"
 
704
><BLOCKQUOTE
 
705
CLASS="NOTE"
 
706
><P
 
707
><B
 
708
>Note: </B
 
709
>         SSL libraries from before November 2009 are insecure when using SSL
 
710
         renegotiation, due to a vulnerability in the SSL protocol. As a
 
711
         stop-gap fix for this vulnerability, some vendors shipped SSL
 
712
         libraries incapable of doing renegotiation. If any such libraries
 
713
         are in use on the client or server, SSL renegotiation should be
 
714
         disabled.
 
715
        </P
 
716
></BLOCKQUOTE
 
717
></DIV
 
718
></DD
 
719
><DT
 
720
><A
 
721
NAME="GUC-SSL-CIPHERS"
 
722
></A
 
723
><TT
 
724
CLASS="VARNAME"
 
725
>ssl_ciphers</TT
 
726
> (<TT
 
727
CLASS="TYPE"
 
728
>string</TT
 
729
>)</DT
 
730
><DD
 
731
><P
 
732
>        Specifies a list of <ACRONYM
 
733
CLASS="ACRONYM"
 
734
>SSL</ACRONYM
 
735
> ciphers that are allowed to be
 
736
        used on secure connections. See the <SPAN
 
737
CLASS="APPLICATION"
 
738
>openssl</SPAN
 
739
>
 
740
        manual page for a list of supported ciphers.
 
741
       </P
 
742
></DD
 
743
><DT
 
744
><A
 
745
NAME="GUC-PASSWORD-ENCRYPTION"
 
746
></A
 
747
><TT
 
748
CLASS="VARNAME"
 
749
>password_encryption</TT
 
750
> (<TT
 
751
CLASS="TYPE"
 
752
>boolean</TT
 
753
>)</DT
 
754
><DD
 
755
><P
 
756
>        When a password is specified in <A
 
757
HREF="sql-createuser.html"
 
758
>CREATE USER</A
 
759
> or
 
760
        <A
 
761
HREF="sql-alteruser.html"
 
762
>ALTER USER</A
 
763
>
 
764
        without writing either <TT
 
765
CLASS="LITERAL"
 
766
>ENCRYPTED</TT
 
767
> or
 
768
        <TT
 
769
CLASS="LITERAL"
 
770
>UNENCRYPTED</TT
 
771
>, this parameter determines whether the
 
772
        password is to be encrypted. The default is <TT
 
773
CLASS="LITERAL"
 
774
>on</TT
 
775
>
 
776
        (encrypt the password).
 
777
       </P
 
778
></DD
 
779
><DT
 
780
><A
 
781
NAME="GUC-KRB-SERVER-KEYFILE"
 
782
></A
 
783
><TT
 
784
CLASS="VARNAME"
 
785
>krb_server_keyfile</TT
 
786
> (<TT
 
787
CLASS="TYPE"
 
788
>string</TT
 
789
>)</DT
 
790
><DD
 
791
><P
 
792
>        Sets the location of the Kerberos server key file. See
 
793
        <A
 
794
HREF="auth-methods.html#KERBEROS-AUTH"
 
795
>Section 19.3.5</A
 
796
> or <A
 
797
HREF="auth-methods.html#GSSAPI-AUTH"
 
798
>Section 19.3.3</A
 
799
>
 
800
        for details. This parameter can only be set in the
 
801
        <TT
 
802
CLASS="FILENAME"
 
803
>postgresql.conf</TT
 
804
> file or on the server command line.
 
805
       </P
 
806
></DD
 
807
><DT
 
808
><A
 
809
NAME="GUC-KRB-SRVNAME"
 
810
></A
 
811
><TT
 
812
CLASS="VARNAME"
 
813
>krb_srvname</TT
 
814
> (<TT
 
815
CLASS="TYPE"
 
816
>string</TT
 
817
>)</DT
 
818
><DD
 
819
><P
 
820
>        Sets the Kerberos service name. See <A
 
821
HREF="auth-methods.html#KERBEROS-AUTH"
 
822
>Section 19.3.5</A
 
823
>
 
824
        for details. This parameter can only be set in the
 
825
        <TT
 
826
CLASS="FILENAME"
 
827
>postgresql.conf</TT
 
828
> file or on the server command line.
 
829
       </P
 
830
></DD
 
831
><DT
 
832
><A
 
833
NAME="GUC-KRB-CASEINS-USERS"
 
834
></A
 
835
><TT
 
836
CLASS="VARNAME"
 
837
>krb_caseins_users</TT
 
838
> (<TT
 
839
CLASS="TYPE"
 
840
>boolean</TT
 
841
>)</DT
 
842
><DD
 
843
><P
 
844
>        Sets whether Kerberos and GSSAPI user names should be treated
 
845
        case-insensitively.
 
846
        The default is <TT
 
847
CLASS="LITERAL"
 
848
>off</TT
 
849
> (case sensitive). This parameter can only be
 
850
        set in the <TT
 
851
CLASS="FILENAME"
 
852
>postgresql.conf</TT
 
853
> file or on the server command line.
 
854
       </P
 
855
></DD
 
856
><DT
 
857
><A
 
858
NAME="GUC-DB-USER-NAMESPACE"
 
859
></A
 
860
><TT
 
861
CLASS="VARNAME"
 
862
>db_user_namespace</TT
 
863
> (<TT
 
864
CLASS="TYPE"
 
865
>boolean</TT
 
866
>)</DT
 
867
><DD
 
868
><P
 
869
>        This parameter enables per-database user names.  It is off by default.
 
870
        This parameter can only be set in the <TT
 
871
CLASS="FILENAME"
 
872
>postgresql.conf</TT
 
873
>
 
874
        file or on the server command line.
 
875
       </P
 
876
><P
 
877
>        If this is on, you should create users as <TT
 
878
CLASS="LITERAL"
 
879
>username@dbname</TT
 
880
>.
 
881
        When <TT
 
882
CLASS="LITERAL"
 
883
>username</TT
 
884
> is passed by a connecting client,
 
885
        <TT
 
886
CLASS="LITERAL"
 
887
>@</TT
 
888
> and the database name are appended to the user
 
889
        name and that database-specific user name is looked up by the
 
890
        server. Note that when you create users with names containing
 
891
        <TT
 
892
CLASS="LITERAL"
 
893
>@</TT
 
894
> within the SQL environment, you will need to
 
895
        quote the user name.
 
896
       </P
 
897
><P
 
898
>        With this parameter enabled, you can still create ordinary global
 
899
        users.  Simply append <TT
 
900
CLASS="LITERAL"
 
901
>@</TT
 
902
> when specifying the user
 
903
        name in the client, e.g. <TT
 
904
CLASS="LITERAL"
 
905
>joe@</TT
 
906
>.  The <TT
 
907
CLASS="LITERAL"
 
908
>@</TT
 
909
>
 
910
        will be stripped off before the user name is looked up by the
 
911
        server.
 
912
       </P
 
913
><P
 
914
>        <TT
 
915
CLASS="VARNAME"
 
916
>db_user_namespace</TT
 
917
> causes the client's and
 
918
        server's user name representation to differ.
 
919
        Authentication checks are always done with the server's user name
 
920
        so authentication methods must be configured for the
 
921
        server's user name, not the client's.  Because
 
922
        <TT
 
923
CLASS="LITERAL"
 
924
>md5</TT
 
925
> uses the user name as salt on both the
 
926
        client and server, <TT
 
927
CLASS="LITERAL"
 
928
>md5</TT
 
929
> cannot be used with
 
930
        <TT
 
931
CLASS="VARNAME"
 
932
>db_user_namespace</TT
 
933
>.
 
934
       </P
 
935
><DIV
 
936
CLASS="NOTE"
 
937
><BLOCKQUOTE
 
938
CLASS="NOTE"
 
939
><P
 
940
><B
 
941
>Note: </B
 
942
>         This feature is intended as a temporary measure until a
 
943
         complete solution is found.  At that time, this option will
 
944
         be removed.
 
945
        </P
 
946
></BLOCKQUOTE
 
947
></DIV
 
948
></DD
 
949
></DL
 
950
></DIV
 
951
></DIV
 
952
></DIV
 
953
><DIV
 
954
CLASS="NAVFOOTER"
 
955
><HR
 
956
ALIGN="LEFT"
 
957
WIDTH="100%"><TABLE
 
958
SUMMARY="Footer navigation table"
 
959
WIDTH="100%"
 
960
BORDER="0"
 
961
CELLPADDING="0"
 
962
CELLSPACING="0"
 
963
><TR
 
964
><TD
 
965
WIDTH="33%"
 
966
ALIGN="left"
 
967
VALIGN="top"
 
968
><A
 
969
HREF="runtime-config-file-locations.html"
 
970
ACCESSKEY="P"
 
971
>Prev</A
 
972
></TD
 
973
><TD
 
974
WIDTH="34%"
 
975
ALIGN="center"
 
976
VALIGN="top"
 
977
><A
 
978
HREF="index.html"
 
979
ACCESSKEY="H"
 
980
>Home</A
 
981
></TD
 
982
><TD
 
983
WIDTH="33%"
 
984
ALIGN="right"
 
985
VALIGN="top"
 
986
><A
 
987
HREF="runtime-config-resource.html"
 
988
ACCESSKEY="N"
 
989
>Next</A
 
990
></TD
 
991
></TR
 
992
><TR
 
993
><TD
 
994
WIDTH="33%"
 
995
ALIGN="left"
 
996
VALIGN="top"
 
997
>File Locations</TD
 
998
><TD
 
999
WIDTH="34%"
 
1000
ALIGN="center"
 
1001
VALIGN="top"
 
1002
><A
 
1003
HREF="runtime-config.html"
 
1004
ACCESSKEY="U"
 
1005
>Up</A
 
1006
></TD
 
1007
><TD
 
1008
WIDTH="33%"
 
1009
ALIGN="right"
 
1010
VALIGN="top"
 
1011
>Resource Consumption</TD
 
1012
></TR
 
1013
></TABLE
 
1014
></DIV
 
1015
></BODY
 
1016
></HTML
 
1017
>
 
 
b'\\ No newline at end of file'