Re: pbm pg_hba.conf et ldap

On 01/03/2018 10:26 PM, Jean-Marie Arsac wrote:
> Le 03/01/2018 à 22:16, Vik Fearing a écrit :
>> On 01/03/2018 02:42 PM, ROS Didier wrote:
>>> Bonjour
>>>
>>>  
>>>
>>>                Je teste la connexion à une instance PostgreSQL via un
>>> serveur ldap.
>>>
>>>                Pour cela, je dois insérer dans le fichier pg_hba.conf
>>> une commande du type :
>>>
>>> host        ldaptest      all       0.0.0.0/0    ldap
>>> ldapserver=XXX.XXX.XXX.XXX ldapprefix="uid=" ldapsuffix=", ou=users,
>>> ou=people, dc=edf, dc=fr"  ldapbinddn="cn=admin,dc=edf,dc=fr"
>>> ldapbindpasswd="XXXXXX _XXX"
>>>
>>>  
>>>
>>>                Le problème est que cette ligne de commande est trop
>>> grande et l’instance ne veut pas démarrer à cause de cela.
>>>
>>>                Il y aurait-il une solution pour contourner ce problème ?
>> Salut Didier,
>>
>> Les options (ldap ou autre) ne peuvent pas faire plus de 255 octets. Je
>> suppose que tu les dépasse.
>>
>> Un des gros inconvénients de ldap est que le client envoie le mot de
>> passe en clair au serveur (pour que ce dernier puisse l'envoyer au
>> serveur ldap). Et en plus tu mets le ldapbindpasswd dans ton
>> pg_hba.conf, ce qui est Bad News.
>>
>> Il vaudrait mieux configurer la méthode gssapi (qui est compatible avec
>> Active Directory, par exemple).
>>
>> https://www.postgresql.org/docs/current/static/auth-methods.html#GSSAPI-AUTH
>
> Bonsoir,
>
> J'avais pensé à une limite de ce genre, mais apparemment  la ligne fait
> 213 caractères.

Quel est le message d'erreur exact ?

En utilisant la ligne fournie par Didier (avec XXX et tout), j'ai ça
déjà : cannot use ldapbasedn, ldapbinddn, ldapbindpasswd,
ldapsearchattribute, or ldapurl together with ldapprefix
--
Vik Fearing +33 6 46 75 15 36
http://2ndQuadrant.fr PostgreSQL : Expertise, Formation et Support