banniere

Le portail francophone de la géomatique


Toujours pas inscrit ? Mot de passe oublié ?
Nom d'utilisateur    Mot de passe              Toujours pas inscrit ?   Mot de passe oublié ?

Annonce

Pour sa 21ème année, l’association GeoRezo a toujours besoin de vous !

10€ = 1 mois de frais bancaires ; 15€ = 12 mois de nom de domaine ; 30€ = 1 semaine de location des serveurs …

Faire un don 

Retrouver nos membres bienfaiteurs

#1 Wed 01 February 2023 14:03

tweaxy
Participant actif
Lieu: Abbeville
Date d'inscription: 27 Dec 2018
Messages: 76

Connexion des users PostgreSQL avec authentification LDAP

Bonjour,

Dans le cadre du développement d'une stratégie d'administration de données pour une collectivité, je suis tombé sur la méthode d'identification LDAP à partir de postgreSQL.

Aujourd'hui non connecté à notre LDAP, nous utilisons actuellement le raisonnement suivant :
- comptes pour le service : sig_admin (droit propriétaire sur tout (non superuser)). 3 à 4 utilisateurs peuvent utiliser ce compte pour travailler sur la BDD. D'autres comptes du service devraient suivre, comme un sig_edit et un sig_read avec des privilèges différents.

- 1 compte par utilisateur métier

Au niveau des droits, nous raisonnons par groupe de service de la collectivité, avec 2 types de groupe :
- [SERVICE]_R --> Uniquement de la lecture
- [SERVICE_RW] --> Lecture & Ecriture
Chaque utilisateur est donc présent dans le ou les groupes concernés.

Plusieurs questions se posent donc si nous passions à une authentification LDAP :

Premièrement, cela signifie visiblement que le user doit être DANS PostgreSQL ET dans l'AD : Peut-on conserver un compte sig_admin qui n'est pas dans notre AD uniquement pour notre accès en tant qu'administrateur (4 personnes différentes) ? les rôles pg_ de base ne sont visiblement pas impacté eux, mais les autres ?

Egalement, selon notre gestion actuelle (les groupes ont des accès/droits, dans lesquels des utilisateurs en font partie), comment cela se passerait-il avec une authentification LDAP ? Nous allons devoir ajouter les utilisateurs concernés en ayant EXACTEMENT le même nom dans l'AD et dans PostGreSQL, mais qu'indiquons-nous dans l'item "password" lors de la création côté PostGreSQL ? (Nous n'avons pas vocation à mettre toute l'AD dans PostgreSQL, donc nous n'utiliserons pas l'outil ldap2pg)

Ensuite, comment cela va se passer pour les groupes ? On les conserve dans PostGreSQL et lors de l'authentification de l'utilisateur, on va checker le password via l'AD et, une fois connecté, les groupes [SERVICE]_R et [SERVICE]_RW vont fonctionner de la même manière (bien que ces groupes n'existent pas dans notre AD mais uniquement les utilisateurs qui seraient rattachés à ce/ces groupe(s) côté postgres ?


Je n'ai malheureusement pas trouvé d'exemples qui évoquaient cela pour répondre à mes questions.

En vous remerciant,
Léandre BERON

Hors ligne

 

#2 Wed 01 February 2023 16:19

tumasgiu
Membre
Lieu: Ajaccio
Date d'inscription: 5 Jul 2010
Messages: 1166

Re: Connexion des users PostgreSQL avec authentification LDAP

Bonjour

Premièrement, cela signifie visiblement que le user doit être DANS PostgreSQL ET dans l'AD


Oui.

Peut-on conserver un compte sig_admin qui n'est pas dans notre AD uniquement pour notre accès en tant qu'administrateur (4 personnes différentes) ? les rôles pg_ de base ne sont visiblement pas impacté eux, mais les autres ?


oui vous pouvez conserver une ligne dans votre hba qui cible le rôle de connexion postgresql sig_admin et qui utilisera une methode de connexion classique comme md5 ou scram.

[nous n]'indiquons-nous dans l'item "password" lors de la création côté PostGreSQL ? (Nous n'avons pas vocation à mettre toute l'AD dans PostgreSQL, donc nous n'utiliserons pas l'outil ldap2pg)


Pas besoin d'indiquer créér de mot de passe,  puisque l'accès à vos bases se fera uniquement par avec une authentification LDAP. Il faudra spécifier PASSWORD NULL dans la commande de créationde vos utilisateurs.

Ensuite, comment cela va se passer pour les groupes ? On les conserve dans PostGreSQL et lors de l'authentification de l'utilisateur, on va checker le password via l'AD et, une fois connecté, les groupes [SERVICE]_R et [SERVICE]_RW vont fonctionner de la même manière (bien que ces groupes n'existent pas dans notre AD mais uniquement les utilisateurs qui seraient rattachés à ce/ces groupe(s) côté postgres ?


Oui, les groupes n'ont de sens que dans postgresql, pas besoin de les répercuter dans l'AD, à moins que vous ne vouliez renforcer la sécurité de l'accès à vos bases qui serait conditionné à l'appartenance à un groupe AD, mais cela ne parait pas nécessaire.

Dernière modification par tumasgiu (Wed 01 February 2023 16:23)

Hors ligne

 

#3 Thu 02 February 2023 08:40

tweaxy
Participant actif
Lieu: Abbeville
Date d'inscription: 27 Dec 2018
Messages: 76

Re: Connexion des users PostgreSQL avec authentification LDAP

Bonjour,

Super ! Merci pour ces réponses très précises.

Cordialement,
Léandre BERON

Hors ligne

 

Pied de page des forums

Powered by FluxBB