Le portail francophone de la géomatique

Bonjour,

Attention, pour une authentification GSSAPI, il faut preciser la methode GSS, pas LDAP.

Le mapping automatique d'une user ldap vers PG n'est pas possible d'après ce que je comprends:
Il faut créer un user PG pour chaque user LDAP, ou bien utiliser un seul role coté PG et mapper ce role sur n utilisateurs LDAP grace au fichier pg_ident.

Pour GSSAPI, c'est la même chose: PG peut récupérer les credentials Kerberos de l'utilisateur loggé sur le système et interroger le serveur Kerberos pour savoir si ce user à les droits sur le service Postgresql. Il faut que le user Postgresql existe et corresponde au user système, ou alors définir un mapping dans pg_ident.

Cela une demande une configuration de la partie GSSAPI/Kerberos et ca peut se reveler difficile, de mon expérience.

Sinon, je vous conseille de faire cela en deux étapes: tester d'abord le mode SSL avec une authentification "classique" TRUST ou MD5, puis ajouter la partie LDAP ou GSS ensuite, voire tester le LDAP sans SSL dans un premier temps.
Il faut que le serveur ait ete compilé avec l'option SSL et que le mode SSL soit à on dans le fichier postgresql.conf (en plus des autres paramètres SSL à configurer).

Nicolas

Vos serveurs PG et kerberos/LDAP sont sous quel OS ?

Nicolas

La plupart des versions binaires de PG récentes ont le support SSL activé il me semble.

Il suffit juste de configurer SSL=ON dans postgresql.conf.
Ensuite, avec OpenSSL, il faut générer les certificats pour le serveur PG comme précisé dans la doc, histoire d'avoir des certificats locaux.

Sinon, pour encrypter les connexions entre les clients et le serveur PG, vous pouvez passer par un tunnel SSH (windows, mac, linux compatible) comme indiqué ici:
http://www.postgresql.org/docs/9.2/stat … nnels.html

C'est vraiment très facile a mettre en place: vous disposez alors d'un port virtuel sur le client pour vous connecter au serveur. SSH se charge de l'encryption du trafic.

Nicolas

Merci pour ces réponses et explications.

Nous avons créé un nouveau serveur virtuel sous Windows pour implanter notre base de données.

Je dispose des versions suivantes : postgreSQL 9.3 + PostGIS 2.1.1

Kevin

Bonjour,

Nous n'avons pas d'autres clients que windows en ce qui concerne l'utilisation de la base de données.


j'ai testé l'authentification SSPI, et ça marche très bien sous PostGIS.

Par contre, cette méthode semble incompatible avec notre interface SIG Geomedia... Je vais poster demain un message dans le forum associé à Geomedia.

Je viens de remarquer que je n'ai pas répondu à un de vos posts :

"Votre fichier pg_hba.conf contient bien des valeurs a la place des * ?
Les masques devraient etre des puissances de 2, non ? style 10.0.1.0/24 pour ouvrir tout le sous reseau 10.0.1"
Concernant le masque des adresses ip, il est bien de "23" j'ai demandé confirmation à l'adminstrateur réseau. Au final, j'ai choisi de ne pas m'attarder sur l'authorisation ip et j'ai mis "*" dans "listen_adresses". Pour le fichier pg_hba j'ai donc mis l'ip "::1/128" pour mon user test.

"host all username ::1/128 sspi"

Cela fonctionne.

Le problème c'est que mon ip est dynamique donc je ne peux me connecter sur mon ip.



Pour rebondir sur une des phrases de votre premier post (cf "Attention, pour une authentification GSSAPI, il faut preciser la methode GSS, pas LDAP."),

la liste déroulante bug !! Quand je choisi la méthode "gss" dans mon menu déroulant, le pg_hba m'affiche "ldap" dans la ligne correspondante. Il y a une sorte de décalage :
Quand je choisi "trust" cela m'affiche "trust"
Quand je choisi "reject" cela m'affiche "reject"
Quand je choisi "md5" cela m'affiche "md5"
Quand je choisi "password" cela m'affiche "crypt"
Quand je choisi "krb4" cela m'affiche "password"
Quand je choisi "krb5" cela m'affiche "krb4"
Quand je choisi "ident" cela m'affiche "krb5"
Quand je choisi "pam" cela m'affiche "ident"
Quand je choisi "ldap" cela m'affiche "pam"
Quand je choisi "gss" cela m'affiche "ldap"
Quand je choisi "sspi" cela m'affiche "gss"
Quand je choisi "cert" cela m'affiche "sspi"
etc...


j'imagine que l'information affiché dans le pg_hba est la plus fiable? J'ai choisi "cert" pour que cela m'affiche "sspi" dans le pg_hba.conf....

Oui exact il s'agit de la liste déroulante de pgadmin III. J'utilise la dernière version 1.18.1.