Le portail francophone de la géomatique

Bonjour,

Dans le cadre du développement d'une stratégie d'administration de données pour une collectivité, je suis tombé sur la méthode d'identification LDAP à partir de postgreSQL.

Aujourd'hui non connecté à notre LDAP, nous utilisons actuellement le raisonnement suivant :
- comptes pour le service : sig_admin (droit propriétaire sur tout (non superuser)). 3 à 4 utilisateurs peuvent utiliser ce compte pour travailler sur la BDD. D'autres comptes du service devraient suivre, comme un sig_edit et un sig_read avec des privilèges différents.

- 1 compte par utilisateur métier

Au niveau des droits, nous raisonnons par groupe de service de la collectivité, avec 2 types de groupe :
- [SERVICE]_R --> Uniquement de la lecture
- [SERVICE_RW] --> Lecture & Ecriture
Chaque utilisateur est donc présent dans le ou les groupes concernés.

Plusieurs questions se posent donc si nous passions à une authentification LDAP :

Premièrement, cela signifie visiblement que le user doit être DANS PostgreSQL ET dans l'AD : Peut-on conserver un compte sig_admin qui n'est pas dans notre AD uniquement pour notre accès en tant qu'administrateur (4 personnes différentes) ? les rôles pg_ de base ne sont visiblement pas impacté eux, mais les autres ?

Egalement, selon notre gestion actuelle (les groupes ont des accès/droits, dans lesquels des utilisateurs en font partie), comment cela se passerait-il avec une authentification LDAP ? Nous allons devoir ajouter les utilisateurs concernés en ayant EXACTEMENT le même nom dans l'AD et dans PostGreSQL, mais qu'indiquons-nous dans l'item "password" lors de la création côté PostGreSQL ? (Nous n'avons pas vocation à mettre toute l'AD dans PostgreSQL, donc nous n'utiliserons pas l'outil ldap2pg)

Ensuite, comment cela va se passer pour les groupes ? On les conserve dans PostGreSQL et lors de l'authentification de l'utilisateur, on va checker le password via l'AD et, une fois connecté, les groupes [SERVICE]_R et [SERVICE]_RW vont fonctionner de la même manière (bien que ces groupes n'existent pas dans notre AD mais uniquement les utilisateurs qui seraient rattachés à ce/ces groupe(s) côté postgres ?


Je n'ai malheureusement pas trouvé d'exemples qui évoquaient cela pour répondre à mes questions.

En vous remerciant,
Léandre BERON