2.9.5 通过 GSSAPI 直接连接

GSSAPI 是一套类似 Kerberos 5 的通用网络安全系统接口。 如果你拥有一套 GSSAPI 库，就可以通过 tcp 连接直接建立 cvs 连接，由 GSSAPI 进行安全鉴别。

要做到这一点，需要在 GSSAPI 的支持下重新编译 cvs； 当配置 cvs 的时候，它会检测使用 Kerberos 5 的 GSSAPI 库是否存在。 你也可以使用 --with-gssapi 标志来配置。

这样的连接就使用 GSSAPI 来进行安全鉴别了，但是按照默认并不鉴别消息流。 你必须使用 -a 全局选项来要求消息流进行安全鉴别。

按照默认 不加密传输数据。 加密支持必须同时编译进客户端和服务器端；使用 --enable-encrypt 配置选项来把它开启。 最后你必须使用 -x 全局选项来要求加密。

在服务器端处理 GSSAPI 连接的服务器和口令鉴别服务器应该是同一台服务器；请参阅 Password authentication server。 如果你已经使用了诸如基于 Kerberos 的 GSSAPI 机制来提供功能强大的安全鉴别功能了，你可能希望停用通过明文口令鉴别的功能。 要做到这一点，创建一个空的 CVSROOT/passwd 口令文件，并且在配置文件里设置 SystemAuth=no，(参阅 config)。

GSSAPI 服务器使用 cvs/hostname 的主名称，其中主机名称 hostname 是服务器主机的规范名称。 你必须按要求通过 GSSAPI 机制把它设置起来。

要使用 GSSAPI 进行连接，要在命令中使用 `:gserver:' 方法。 例如，

     cvs -d :gserver:faun.example.org:/usr/local/cvsroot checkout foo