Postgresql et authentification Active Directory

tmenard · 06/09/2011 14:53:22

Salut,

Je cherche à sécuriser les connexions utilisateurs sur mes bases Postgres 8.4.

Dans la doc officielle, il est référence au support du ldap en natif (qui n'est pas compilé dans les versions téléchargeable : EntrepriseDB ou openscg mais dispo dans les repos debian par exemple).

Les deux autres axes des réflexion pourrait être du pam_ldap ou encore du gssapi avec kerberos 5.

De ce que je comprend, l'authentification distante oblige la présence d'un user "local" ou bien un mapping dans pg_ident.conf.

Pour le module natif ldap, aucun user/mot de passe pour se connecter au ldap n'est à fournir. En revanche j'ai l'impression que postgres essaye de faire une connexion ldap avec les credentials que je renseigne à la connexion.

Cela ne semble pas marcher il me refuse la connexion à chaque fois prétextant que l'authentification échoue.

Pour le module pam_ldap même topo.

Et pour kerberos, je ne trouve pas assez de doc sur ce sujet.

Quelqu'un aurait déjà réussi à gerer l'authentification d'une base postgres (sous linux) via un active directory ?

gleu · 06/09/2011 18:14:30

Non, jamais essayé avec un AD. Je sais cependant que ça fonctionne par d'autres utilisateurs.

tmenard · 06/09/2011 18:17:14

Merci,

Aurais tu des exemples plus détaillés que la doc ou ce que google me renvoi ?

gleu · 06/09/2011 18:57:17

Non, désolé.

tmenard · 06/09/2011 18:59:00

bon ben merci

je posterai le bouzin a la comunauté si je m'en sort

gleu · 28/10/2011 20:04:34

Ayant eu à faire ça pour un client aujourd'hui, voici la recette :

* tout d'abord, indiquer dans le fichier pg_hba.conf la méthode sspi, par exemple : host postgres all 127.0.0.1/32 sspi map=map_users
* ensuite préciser dans le fichier pg_ident.conf avec quel utilisateur PostgreSQL un utilisateur AD peut se connecter... par exemple : map_users user_system user_pg

Comme ça, si je suis connecté sous Windows en tant que user_system, je peux faire ceci :

psql -U user_pg -h 127.0.0.1 postgres

sans qu'un mot de passe ne me soit demandé.

ftmazzone · 29/10/2012 11:18:17

Bonjour,

L'authentification par utilisateur Windows fonctionne chez moi mais j'essaie de configurer les autorisations pour des groupes d'utilisateurs AD.
En utilisant SSPI, est-il également possible de spécifier que tous les utilisateurs d'un groupe Windows (par exemple BUILTIN\Users) sont autorisés à se connecter au serveur de base de données ?

gleu · 30/10/2012 12:53:02

Pas à ma connaissance.

ftmazzone · 31/10/2012 11:12:43

Ok merci ,dommage. En effet, les seuls exemples que j'ai vus jusquà présent concerne l'authentification par utilisateur.

Forums PostgreSQL.fr

#1 06/09/2011 14:53:22

Postgresql et authentification Active Directory

#2 06/09/2011 18:14:30

Re : Postgresql et authentification Active Directory

#3 06/09/2011 18:17:14

Re : Postgresql et authentification Active Directory

#4 06/09/2011 18:57:17

Re : Postgresql et authentification Active Directory

#5 06/09/2011 18:59:00

Re : Postgresql et authentification Active Directory

#6 28/10/2011 20:04:34

Re : Postgresql et authentification Active Directory

#7 29/10/2012 11:18:17

Re : Postgresql et authentification Active Directory

#8 30/10/2012 12:53:02

Re : Postgresql et authentification Active Directory

#9 31/10/2012 11:12:43

Re : Postgresql et authentification Active Directory

Pied de page des forums