PostgreSQL también tiene soporte nativo para utilizar GSSAPI para cifrar las comunicaciones cliente/servidor para mayor seguridad. El soporte requiere que se instale una implementación de GSSAPI (como MIT Kerberos) tanto en el sistema cliente como en el servidor, y que el soporte en PostgreSQL esté habilitado en el momento de la compilación (consulta Chapter 17).
El servidor PostgreSQL escuchará tanto conexiones normales como cifradas con GSSAPI en el mismo puerto TCP, y negociará con cualquier cliente que se conecte si usar GSSAPI para el cifrado (y para la autenticación). Por defecto, esta decisión depende del cliente (lo que significa que puede ser degradada por un atacante); consulta Section 20.1 sobre cómo configurar el servidor para requerir el uso de GSSAPI para algunas o todas las conexiones.
Cuando se utiliza GSSAPI para el cifrado, es común utilizar GSSAPI también para la autenticación, ya que el mecanismo subyacente determinará las identidades tanto del cliente como del servidor (de acuerdo con la implementación de GSSAPI) en cualquier caso. Pero esto no es obligatorio; se puede elegir otro método de autenticación de PostgreSQL para realizar una verificación adicional.
Aparte de la configuración del comportamiento de negociación, el cifrado GSSAPI no requiere ninguna configuración más allá de la que es necesaria para la autenticación GSSAPI. (Para obtener más información sobre cómo configurar eso, consulta Section 20.6).