クライアントアプリケーションからの接続をサーバが監視する TCP/IP アドレスを指定します。 この値は、ホスト名をコンマで区切ったリスト、そして/もしくは、数値によるIPアドレスです。 *という特別なエントリは利用可能な全てのIPインタフェースに対応します。 エントリ0.0.0.0は全てのIPv4アドレスの監視を、そしてエントリ::は全てのIPv6アドレスの監視を許容します。 リストが空の場合、サーバはいかなるIPインターフェイスも全く監視しないで、Unixドメインソケットのみを使用して接続が行われます。 デフォルトの値はlocalhostで、ローカルなTCP/IP 「loopback」接続のみ許可します。 クライアント認証 (19章クライアント認証)は誰がサーバにアクセス可能かをきめ細かく制御するのに対し、listen_addressesはどのインターフェイスが接続を試みるかを制御します。 これにより、安全でないネットワークインターフェイス上において繰り返して行われる悪意のある接続要求の防止に役立ちます。このパラメータはサーバ起動時のみ設定可能です。

サーバが監視するTCPポートで、デフォルトは 5432です。 サーバが監視する全てのIPアドレスに対し、同じポート番号が使用されることを覚えておいてください。 このパラメータはサーバ起動時のみ設定可能です。

データベースサーバに同時接続する最大数を決定します。 デフォルトは典型的に100接続ですが、カーネルの設定が（initdbの過程で）それをサポートしていない場合、もっと少なくなることがあります。 このパラメータはサーバ起動時のみに設定可能です。

スタンバイサーバを運用している場合、このパラメータはマスターサーバでの設定と同じ、もしくはより高い値に設定しなければなりません。そうしないと問い合わせがスタンバイサーバ内で受け入れられません。

PostgreSQLのスーパユーザによる接続のために予約されている接続「開口部（スロット）」の数を決定します。 最大、max_connectionsの数までの接続を同時に有効にすることができます。 何時の時点にあっても、有効な接続数は、少なくともmax_connectionsからsuperuser_reserved_connectionsを差し引いた数であって、新規接続はスーパユーザのみが許可され、新たなレプリケーション接続は受け入れられません。

デフォルトの値は3です。 この値は max_connectionsでの値より小さくなくてはなりません。 このパラメータはサーバ起動時のみ設定可能です。

サーバがクライアントアプリケーションからの接続要求を監視するUnixドメインソケット（複数も）のディレクトリを指定します。 複数ソケットはコンマで区切られた複数ディレクトリをリストすることで作成できます。 項目間の空白文字は無視されます。もし名前付けに際し空白文字もしくはコンマを使用する必要がある場合、ディレクトリ名を二重引用符で括ります。 空の値はいかなるUnixドメインソケットも監視しないようにします。この場合、TCP/IPソケットのみがサーバとの接続に使用されます。 デフォルト値は通常/tmpですが、構築時に変更できます。このパラメータはサーバ起動時のみ設定可能です。

ソケットファイル、これはnnnnがポート番号である、.s.PGSQL.nnnnと名前が付いているもの、それ自身に加え、.s.PGSQL.nnnn.lockと名前が付いている通常のファイルがそれぞれのunix_socket_directoriesディレクトリの中に作成されます。 いずれのファイルも手作業で削除してはいけません。

Unixドメインソケットを持たないWindowsではこのパラメータは無関係です。

Unixドメインソケット（複数も）を所有するグループを設定します（ソケットを所有するユーザは常にサーバを起動するユーザです）。 unix_socket_permissionsパラメータとの組合せで、Unixドメインソケット接続の追加的アクセス管理機構として使うことができます。 デフォルトでは空文字列で、どのユーザがサーバユーザのデフォルトグループかを示します。このパラメータはサーバ起動時のみ設定可能です。

Unixドメインソケットを持たないWindowsではこのパラメータは無関係です。

Unixドメインソケット（複数も）のアクセス許可を設定します。 Unixドメインソケットは通常のUnixファイルシステム許可設定の一式を使用します。 パラメータ値は、chmodおよびumaskシステムコールが受け付ける数値形式での指定を想定しています。（通常使われる8進数形式を使用するのであれば、0（ゼロ）で始まらなければなりません。）

デフォルトでの許可は、誰でも接続できる0777になっています。 変更するならば0770（ユーザとグループのみです。UNIX_SOCKET_GROUPも参照してください）や0700（ユーザのみ）が適切です。（実際、Unixドメインソケットでは書き込み権限だけが問題です。そのため、読み込み許可や実行許可を設定または解除する意味はありません。）

このアクセス制御機構は 19章クライアント認証で記述されたものとは別個のものです。

このパラメータはサーバ起動時のみ設定可能です。

このパラメータはSolaris, 現時点ではSolaris 10のようにソケットのパーミッションを完全に無視するシステムでは無関係です。 こうしたシステムでは、制限したいユーザだけが検索パーミッションを持つディレクトリをunix_socket_directoriesで指すようにすることによって同じような効果を得ることができます。 また、Unixドメインソケットを持たないWindowsではこのパラメータは無関係です。

Bonjourによりサーバの存在を公表することを可能にします。デフォルトはoffです。このパラメータはサーバ起動時のみ設定可能です。

Bonjourサービス名を指定します。 このパラメータが空文字列''（デフォルトです）に設定されていると、コンピュータ名が使用されます。 サーバがBonjourサポート付でコンパイルでされていない場合は無視されます。 このオプションはサーバ起動時のみに設定可能です。

TCPがkeepaliveパケットをクライアントに送信後、待機状態となっている時間を秒単位で指定します。 0の場合はシステムのデフォルト値を使用します。このパラメータはTCP_KEEPIDLEまたはTCP_KEEPALIVEシンボルをサポートするシステムとWindowsのみサポートされます。 その他のシステムではゼロでなければなりません。 Unixドメインソケット経由で接続されたセッションでは、このパラメータは無視され、常にゼロとして読み取られます。

TCPのkeepaliveメッセージに対してクライアントから応答がない場合に、再送を行うまでの時間を秒単位で指定します。 0の場合はシステムのデフォルト値を使用します。 このパラメータはTCP_KEEPINTVLシンボルをサポートするシステムとWindowsのみサポートされます。 その他のシステムではゼロでなければなりません。 Unixドメインソケット経由で接続されたセッションでは、このパラメータは無視され、常にゼロとして読み取られます。

サーバのクライアントへの接続が切れたと考えられる前に失われる可能性のあるTCP keepaliveの数を指定します。 0の場合はシステムのデフォルト値を使用します。 このパラメータはTCP_KEEPCNTシンボルをサポートするシステムのみサポートされます。その他のシステムではゼロでなければなりません。 Unixドメインソケット経由で接続されたセッションでは、このパラメータは無視され、常にゼロとして読み取られます。

秒単位による、クライアント認証を完了するまでの最大時間です。 もし、この時間内に自称クライアントが認証プロトコルを完了しない場合、サーバは接続を閉じます。 これはハングしたクライアントが接続を永久に占有することを防ぎます。 デフォルトは1分（1m）です。 このパラメータはpostgresql.confファイル、またはサーバのコマンドラインでのみ設定可能です。

SSLによる接続を有効にします。これを使用する前に「SSLによる安全なTCP/IP接続」をお読みください。デフォルトはoffです。このパラメータはサーバ起動時のみ設定可能です。SSL通信はTCP/IP接続の場合のみ有効です。

SSLサーバ認証局（CA）の名称が入っているファイル名を設定します。デフォルトは空です。つまりCAファイルは読み込まれず、クライアントのサーバ検証は行われません。（以前のPostgreSQLリリースでは、このファイルは root.crt としてハードコードされていました。）相対パスの場合は、データディレクトリからの相対パスになります。このパラメータはサーバ起動時のみ設定可能です。

SSLサーバ証明書が入っているファイル名を設定します。 デフォルトは server.crt です。 相対パスはそのデータディレクトリと相対関係にあります。このパラメータはサーバ起動時のみ設定可能です。

SSLサーバ証明書失効リスト（CRL）が入っているファイル名を設定します。デフォルトは空です。つまりCRLファイルは読み込まれません。（以前のPostgreSQLリリースでは、このファイルは root.crt としてハードコードされていました。）相対パスはそのデータディレクトリと相対関係にあります。このパラメータはサーバ起動時のみ設定可能です。

SSLサーバの秘密鍵が入っているファイル名を設定します。 デフォルトは server.key です。 相対パスはそのデータディレクトリと相対関係にあります。このパラメータはサーバ起動時のみ設定可能です。

セキュアな接続で使用できるSSL暗号スィートのリストを指定します。 設定構文と使用可能な値のリストについてはOpenSSLパッケージの ciphersマニュアルをご覧ください。 デフォルト値はHIGH:MEDIUM:+3DES:!aNULLです。 特別なセキュリティ要件でなければ通常これが適当です。

デフォルト値の説明:

OpenSSLのバージョンにより、利用可能な暗号スィートの詳細は異なります。 openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL' コマンドを使って現在インストールされているOpenSSLのバージョンに関する詳細情報を得てください。ここで得られるリストは、サーバキータイプによりランタイム時にフィルターされていることに注意してください。

サーバのSSL暗号設定をクライアントに優先して使うかどうかを指定します。デフォルトは真です。

古いバージョンのPostgreSQLにはこの設定がなく、常にクライアントの設定を使います。 この設定は、主に古いバージョンとの互換性のために設けられています。 通常サーバの設定に従うほうが良いです。大抵の場合、サーバはより適切に設定されているからです。

ECDHキー交換で使われる曲線の名前を指定します。 接続するすべてのクライアントがこの設定をサポートしている必要があります。 サーバの楕円曲線キーで使用されるのと同じ曲線である必要があります。 デフォルト値はprime256v1です。

OpenSSLはよく使われる曲線に名前を付けています。 prime256v1 (NIST P-256), secp384r1 (NIST P-384), secp521r1 (NIST P-521).

利用できる曲線の完全なリストはopenssl ecparam -list_curvesで得られます。ただし、TLSではこのすべてが利用できるわけではありません。

ENCRYPTEDもしくはUNENCRYPTEDの指定なしで、CREATE USER もしくはALTER USERにてパスワードが指定されている場合、このパラメータはパスワードを暗号化するか否かを決定します。 デフォルトはon（パスワードを暗号化）です。

Kerberosサーバの鍵ファイルの場所を設定します。詳細は「GSSAPI認証」を参照してください。 このパラメータはpostgresql.confファイル、またはサーバのコマンドラインでのみ設定可能です。

GSSAPIのユーザ名が大文字小文字を区別すべきかの設定をします。 デフォルトはoff（大文字小文字を区別する）です。 このパラメータはpostgresql.confファイル、またはサーバのコマンドラインでのみ設定可能です。

このパラメータはデータベース毎のユーザ名を可能にします。 デフォルトではオフです。 このパラメータはpostgresql.confファイル内、またはサーバのコマンドラインのみで設定可能です。

これがオンの場合、username@dbnameの様にしてユーザを作成しなければなりません。usernameが接続中のクライアントより渡された時、 @およびデータベース名がユーザ名に付加され、そのデータベース特有のユーザ名をサーバが見に行きます。SQL環境下で@を含む名前のユーザを作成する場合、そのユーザ名は引用符で括られなければならないことに注意してください。

このパラメータを有効にしていても通常の広域ユーザを作成することができます。 クライアントにユーザ名を指定する時に、たとえばjoe@のように単に@を付け加えてください。@はサーバがユーザ名を検索する以前に取り去られます。

db_user_namespaceはクライアントとサーバのユーザ名の表示を区別することができます。 認証検査は常にサーバのユーザ名で行われるので、認証方式はクライアントのではなくサーバのユーザ名で構成されなければなりません。 md5では、クライアントおよびサーバの両方でユーザ名をソルトとして使用しますので、md5をdb_user_namespaceと一緒に使用することはできません。