| From: | Alvaro Hernandez <aht(at)ongres(dot)com> |
|---|---|
| To: | Edwin Quijada <jqmicro(at)gmail(dot)com>, jorgegfl(at)hotmail(dot)com |
| Cc: | pgsql-es-ayuda(at)lists(dot)postgresql(dot)org |
| Subject: | Re: pg_hba.conf para aplicaciones |
| Date: | 2018-09-11 00:21:35 |
| Message-ID: | 384a9f2a-66d4-5c04-60f5-0c5b81ef1b77@ongres.com |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
On 10/09/18 20:10, Edwin Quijada wrote:
> La respuesta corta es que no se puede hacer lo que pides, no limita
> por aplicacion. Pero lo que deseas hacer hay otras maneras, por
> ejemplo, como lo hacia hace un tiempo.
> Al crear un usuario desde mi aplicacion agregaba un hash que solo me
> daba la aplicación basado en ciertas informaciones del usuario de esa
> forma, aunque tu tuvieras la clave pedro001 realemente era
> pedro001+hash, de esta forma aunque quisieras entrar por una
> aplicacion como EMS Manager o cualquier otra, no funcionaria porque
> estarias poniendo la clave pedro001 y realmente esta no existia dentro
> de la BD.
>
> Esto lo hacia y me funciono muy bien y sabiendo que tenia varios
> punchadores en la empresa que vivian siempre pensando como joder.
>
>
> El lun., 10 sept. 2018 a las 7:50, jorge gerardo fernandez lugo
> (<jorgegfl(at)hotmail(dot)com <mailto:jorgegfl(at)hotmail(dot)com>>) escribió:
>
> Estimados,
>
> Quisiera saber si existe alguna forma de controlar la
> autenticación de usuarios pero no solo por su IP, sino que también
> por la aplicación por medio de la que se conecta. Lo que busco
> seria una especie de *pg_hba.conf para aplicaciones*.
>
>
> El caso practico es:
>
> -El motor esta alojado en un servidor SUSE Linux Enterprise Server
>
> -El pg_hba.conf esta configurado para aceptar rangos de IPs (host
> base1 all 192.168.200.0/24 <http://192.168.200.0/24> md5)
>
> -Al motor se accede a través de una aplicación enlatada de
> escritorio (.exe) (la cual no podemos modificar)
>
> -Se tienen tantos usuarios de motor como usuarios de aplicación
> haya, ya que no hay un control de usuario por la aplicación.
>
> -Por lo que se quiere evitar, es que se conecten a través de
> herramientas como pgAdmin, EMS Manager, etc, y solo puedan
> conectarse a traves de la aplicación de gestión.
>
>
> Desde ya muy agradecido.
>
> Espero sus comentarios.
>
> Saludos cordiales
>
> Jorge Fernández
>
Hola Jorge Gerardo.
La pregunta es: ¿cómo puede saber PostgreSQL desde qué aplicación
se conecta un usuario? Sería muy fácil "mentir".
Por lo tanto, la única manera posible que se me ocurre es utilizar
autenticación mediante certificados SSL, y entregar (por ejemplo en tu
caso embeber en tu aplicación enlatada de escritorio) el certificado SSL
de usuario emitido por el servidor. Realmente no ofrece una seguridad
muy avanzada, cualquiera con ciertas habilidades podría detectar que
este es el caso y extraer el certificado del binario, pero igual te vale
como medida disuasoria.
Saludos,
Álvaro
--
Alvaro Hernandez
-----------
OnGres
| From | Date | Subject | |
|---|---|---|---|
| Next Message | jorge gerardo fernandez lugo | 2018-09-11 11:15:12 | Re: pg_hba.conf para aplicaciones |
| Previous Message | Edwin Quijada | 2018-09-11 00:10:10 | Re: pg_hba.conf para aplicaciones |