PostgreSQL La base de donnees la plus sophistiquee au monde.

Forums PostgreSQL.fr

Le forum officiel de la communauté francophone de PostgreSQL

Vous n'êtes pas identifié(e).

#1 Re : Sécurité » PostgreSQL, LADPS et Serveur Windows » 12/03/2015 14:51:27

Bonjour.
Je suis toujours avec le même probléme, qui finalement n'avance que peu.

Avec un logiciel de gestion LDAP «LDAP Admin» j'en arrive au constat suivant : Toute les connexions sont refusée sur le port 389. J'ai d'autres erreurs si je spécifie le port sur 636.

J'ai trouvé des options pour spécifier l'usage du TLS, mais aucun pour explicitement demander l'utilisation d'une connexion SSL. Comment le faire ? Ceci est il simplement possible avec PostgreSQL ?

#2 Re : Sécurité » PostgreSQL, SSL et Serveur Windows » 03/02/2015 13:29:06

Je doit moi même avouer que je suis bien plus a mon aise avec un serveur sous Linux que sous Windows (et au vue de la documentation très oirenté, je suis pas le seul), mais malheureusement c'est la seule chose fonctionelle que j'ai réussi a obtenir a mon boulot.

Je vais essayer d'activer les options SSL dans le fichier de configuration PostgreSQL et voir si j'arrive a en tirer plus. Mais j'ai quelques doutes.

Je reviens vers vous aprés ces essais.

#3 Re : Sécurité » PostgreSQL, SSL et Serveur Windows » 03/02/2015 12:22:47

Je suis passé par le site officiel ( http://www.postgresql.org/download/windows/ )
L'installeur que j'ai utilisé se nomme «postgresql-9.3.5-3-windows-x86.exe» avec une signature numérique de «EnterpriseDB Corporation» du 20 Octobre 2014

Ce qui me semble être la source respectable par défaut

#4 Re : Sécurité » PostgreSQL, SSL et Serveur Windows » 03/02/2015 10:34:52

Bonjour.
Si l'option «openssl» n'est pas disponible dans la ligne CONFIGURE, les options dans le fichier postgresql.conf sont elle utilisable ?

Comment activer l'option «openssl» ?

#5 Sécurité » PostgreSQL, SSL et Serveur Windows » 02/02/2015 15:45:16

Benoît.A
Réponses : 6

Bonjour.

Je fait fonctionner un serveur PostgreSQL 9.3.5 sur un petit projet local en entreprise. Et souhaiterais pouvoir le sécuriser un peu (notament pour le rendre plus conforme aux politiques SI de l'entreprise). Pour cela il faudrait que j'active le SSL entre le serveur et le client.

Or mon serveur semble y être tout a fait alergique.
Si j'enregistrer une ligne «hostssl» dans le fichier pg_hba.conf, le serveur refuse de le recharger, concidérant qu'il y as une erreur de syntaxe.
Si je demande a mon client de forcer une connexion SSL, celui-ci me répond «Server does not support SSL, but SSL was require»

Aprenant petit a petit, je me renseigne auprés de pg_config.exe, qui me répond :

CONFIGURE = --enable-thread-safety
            --enable-integer-datetimes
            --enable-nls
            --with-ldap
            --with-ossp-uuid
            --with-libxml
            --with-libxslt
            --with-tcl
            --with-perl
            --with-python
VERSION = PostgreSQL 9.3.5

Je constate donc l'inquiétante absence d'un --with-openssl.

La documentation indique qu'il n'y as normalement aucune raison, mis a part le développement, pour compiler sois même postgreSQL sous Windows.

Comment faire pour pouvoir activer le SSL ?
Une simple case a cocher / ligne dans un fichier de configuration que j'aurrais loupé ?
Je vais être obligé de faire une compilation compléte de PortgreSQL avec le support openSSL ?

Merci par avance de votre aide.

Cordialement
B.A.

#6 Re : Sécurité » PostgreSQL, LADPS et Serveur Windows » 21/01/2015 17:33:05

En spécifiant le port de connexion dans pg_hba.conf pour LDAP les log changent quelque peu.

Je passe de

2015-01-21 15:18:32 CET LOG:  n'a pas pu démarrer la session TLS LDAP : Serveur hors service

à

2015-01-21 16:27:16 CET LOG:  n'a pas pu démarrer la session TLS LDAP : Incapable d’exécuter

A voir maintenant a quoi cela est du. J'ai l'impression d'avancer, mais toujours dans un brouillard épais.

#7 Re : Sécurité » PostgreSQL, LADPS et Serveur Windows » 21/01/2015 16:53:24

Ok.

Les log semblent indiquer que je fait pas complétement nimporte quoi avec pg_hba.conf , mais que ce n'est pas forcément la même chose avec le LDAP

2015-01-21 15:17:56 CET LOG:  n'a pas pu démarrer la session TLS LDAP : Serveur hors service
2015-01-21 15:17:56 CET FATAL:  authentification LDAP échouée pour l'utilisateur « Toto »
2015-01-21 15:17:56 CET DÉTAIL:  La connexion correspond à la ligne 88 du pg_hba.conf : « host	 est	 Toto	 10.0.0.0/8	 ldap	 ldapserver=dmztest-annuaire-ldap.entreprise.fr ldaptls=1 ldapbinddn=ID-Application ldapbindpasswd=MDP-Application ldapbasedn="uid=ID-Application,ou=Applis,dc=annuaire-ldap" ldapbinddn="ou=people,dc=annuaire-ldap" ldapsearchattribute=uid »

«Toto» est le login de mon utilisateur
«ID-Application» est l'identifiant de mon application
«MDP-Application» est le mot de passe de mon application
«dmztest-annuaire-ldap.entreprise.fr» est l'adresse du serveur LDAP
«uid=ID-Application,ou=Applis,dc=annuaire-ldap» m'est donné par mon SI comme devant être «DN»
«ou=people,dc=annuaire-ldap» m'est donné par mon SI comme devant être «Base de recherche des utilisateurs»


Il y aurrais il une erreur dans ma façon de procéder ?
Vu la première ligne de LOG, je me dit qu'il y aurrais peu être un probléme avec le serveur LDAP, mais je ne sais pas comment le vérifier.

#8 Re : Sécurité » PostgreSQL, LADPS et Serveur Windows » 21/01/2015 12:43:53

Je suis (un peu) rassuré, mon installation PostgreSQL est bien compilé avec le support LDAP.

J'ai effectivement déjà regardé la documentation (qui est un peu mon livre de chevet depuis que je suis sur ce projet au boulot) qui est une mine d'information.
Et d'après cette documentation, il faudrait probablement faire un «search + bind».

En tout cas on m'as fournis un nom d'utilisateur et un mot lié a l'application pour m'autentifier auprés du serveur LADPs.
Mais les procédures qui me sont fournies en interne sont pour une application PHP qui serais développé de 0 (ou presque) et donc ne correspondent pas vraiment a ce que demande PostgreSQL.

--

En fait j'ai un peu de mal a comprendre comment il fait (et vu que j'y connais rien a LDAP, ça aide pas).

De ce que je comprend, sur un «search + bind» PostgresSQL ferais ceci :

CONNEXION avec l'identifiant Application
RECHERCHE de l'utilisateur
DÉCONNEXION

CONNEXION avec l'identifiant utilisateur
-vois si il arrive a se connecter.
DÉCONNEXION

Ce qui ne serais pas tout a fait le comportement attendu, qui lui serais.

CONNEXON avec l'identifiant Application
RECHERCHE de l'utilisateur
AUTENTIFICATION de l'utilisateur
DÉCONNEXION

Je déconne complétement ou ça se passe bien comme cela ?

#9 Sécurité » PostgreSQL, LADPS et Serveur Windows » 21/01/2015 10:21:55

Benoît.A
Réponses : 7

Bonjour.
Je fait évoluer un petit projet autour de PostgreSQL dans mon entreprise, et alors que je suis aujourd'hui sur une autentification locale, on me demande de la faire évoluer en passant par le LDAPs de l'entreprise.

Voici ma configuration.
— Un serveur de «production» : PostgreSQL 9.3 sur un Windows serveur 2008 R2.
— Une machine de travail / test / bidouille : PostegreSQL 9.3 sur un Windows 7.

Pour le moment mes quelques essais n'on rien donné de concluant (J'ai essayé quelques modifications de configuration dans pg_hba.conf, sans être certain de mes manipulations)
C'est la première fois que je travaille avec du LDAP et je suis autodidacte sur du PostgreSQL

J'ai cru comprendre que le support LDAP n'était qu'en option au moment de la compilation. N'ayant fait que installer les package du site officiel, comment savoir si la version de PostgreSQL que j'utilise as bien le support LDAP actif ?

Plus globalement, comment pouvoir configurer PostgreSQL pour qu'il authentifie mes utilisateurs via le LDAP.

J'ai lu pas mal de bout de documentation, mais je suis bloqué pour le moment.

Merci d'avance de votre aide.

Cordialement

B.A.

Pied de page des forums

Propulsé par FluxBB