Pages: 1
- Sujet précédent - Connexion des users PostgreSQL avec authentification LDAP - Sujet suivant
#1 Wed 01 February 2023 14:03
- tweaxy
- Participant actif
- Lieu: Abbeville
- Date d'inscription: 27 Dec 2018
- Messages: 76
Connexion des users PostgreSQL avec authentification LDAP
Bonjour,
Dans le cadre du développement d'une stratégie d'administration de données pour une collectivité, je suis tombé sur la méthode d'identification LDAP à partir de postgreSQL.
Aujourd'hui non connecté à notre LDAP, nous utilisons actuellement le raisonnement suivant :
- comptes pour le service : sig_admin (droit propriétaire sur tout (non superuser)). 3 à 4 utilisateurs peuvent utiliser ce compte pour travailler sur la BDD. D'autres comptes du service devraient suivre, comme un sig_edit et un sig_read avec des privilèges différents.
- 1 compte par utilisateur métier
Au niveau des droits, nous raisonnons par groupe de service de la collectivité, avec 2 types de groupe :
- [SERVICE]_R --> Uniquement de la lecture
- [SERVICE_RW] --> Lecture & Ecriture
Chaque utilisateur est donc présent dans le ou les groupes concernés.
Plusieurs questions se posent donc si nous passions à une authentification LDAP :
Premièrement, cela signifie visiblement que le user doit être DANS PostgreSQL ET dans l'AD : Peut-on conserver un compte sig_admin qui n'est pas dans notre AD uniquement pour notre accès en tant qu'administrateur (4 personnes différentes) ? les rôles pg_ de base ne sont visiblement pas impacté eux, mais les autres ?
Egalement, selon notre gestion actuelle (les groupes ont des accès/droits, dans lesquels des utilisateurs en font partie), comment cela se passerait-il avec une authentification LDAP ? Nous allons devoir ajouter les utilisateurs concernés en ayant EXACTEMENT le même nom dans l'AD et dans PostGreSQL, mais qu'indiquons-nous dans l'item "password" lors de la création côté PostGreSQL ? (Nous n'avons pas vocation à mettre toute l'AD dans PostgreSQL, donc nous n'utiliserons pas l'outil ldap2pg)
Ensuite, comment cela va se passer pour les groupes ? On les conserve dans PostGreSQL et lors de l'authentification de l'utilisateur, on va checker le password via l'AD et, une fois connecté, les groupes [SERVICE]_R et [SERVICE]_RW vont fonctionner de la même manière (bien que ces groupes n'existent pas dans notre AD mais uniquement les utilisateurs qui seraient rattachés à ce/ces groupe(s) côté postgres ?
Je n'ai malheureusement pas trouvé d'exemples qui évoquaient cela pour répondre à mes questions.
En vous remerciant,
Léandre BERON
Hors ligne
#2 Wed 01 February 2023 16:19
- tumasgiu
- Membre
- Lieu: Ajaccio
- Date d'inscription: 5 Jul 2010
- Messages: 1146
Re: Connexion des users PostgreSQL avec authentification LDAP
Bonjour
Premièrement, cela signifie visiblement que le user doit être DANS PostgreSQL ET dans l'AD
Oui.
Peut-on conserver un compte sig_admin qui n'est pas dans notre AD uniquement pour notre accès en tant qu'administrateur (4 personnes différentes) ? les rôles pg_ de base ne sont visiblement pas impacté eux, mais les autres ?
oui vous pouvez conserver une ligne dans votre hba qui cible le rôle de connexion postgresql sig_admin et qui utilisera une methode de connexion classique comme md5 ou scram.
[nous n]'indiquons-nous dans l'item "password" lors de la création côté PostGreSQL ? (Nous n'avons pas vocation à mettre toute l'AD dans PostgreSQL, donc nous n'utiliserons pas l'outil ldap2pg)
Pas besoin d'indiquer créér de mot de passe, puisque l'accès à vos bases se fera uniquement par avec une authentification LDAP. Il faudra spécifier PASSWORD NULL dans la commande de créationde vos utilisateurs.
Ensuite, comment cela va se passer pour les groupes ? On les conserve dans PostGreSQL et lors de l'authentification de l'utilisateur, on va checker le password via l'AD et, une fois connecté, les groupes [SERVICE]_R et [SERVICE]_RW vont fonctionner de la même manière (bien que ces groupes n'existent pas dans notre AD mais uniquement les utilisateurs qui seraient rattachés à ce/ces groupe(s) côté postgres ?
Oui, les groupes n'ont de sens que dans postgresql, pas besoin de les répercuter dans l'AD, à moins que vous ne vouliez renforcer la sécurité de l'accès à vos bases qui serait conditionné à l'appartenance à un groupe AD, mais cela ne parait pas nécessaire.
Dernière modification par tumasgiu (Wed 01 February 2023 16:23)
Hors ligne
#3 Thu 02 February 2023 08:40
- tweaxy
- Participant actif
- Lieu: Abbeville
- Date d'inscription: 27 Dec 2018
- Messages: 76
Re: Connexion des users PostgreSQL avec authentification LDAP
Bonjour,
Super ! Merci pour ces réponses très précises.
Cordialement,
Léandre BERON
Hors ligne
Pages: 1
- Sujet précédent - Connexion des users PostgreSQL avec authentification LDAP - Sujet suivant