Re: ssl

From: Christian Voelker <C(dot)Voelker(at)gmx(dot)net>
To: Olaf Radicke <olaf_rad(at)gmx(dot)de>
Cc: pgsql-de-allgemein(at)postgresql(dot)org
Subject: Re: ssl
Date: 2007-09-07 08:28:18
Message-ID: ABE3D0A6-CAC9-4C23-B1FE-C21C13E0F1B0@gmx.net
Views: Raw Message | Whole Thread | Download mbox | Resend email
Thread:
Lists: pgsql-de-allgemein

Hallo,

Am 07.09.2007 um 09:52 schrieb Olaf Radicke:

> Das Rechte System bei Postgresql finde ich nicht immer schlüssig.
>
> Wenn ich kein ssl benutzen will, benutze ich es in der pg_hba.conf
> einfach
> nicht. Warum sollte ich auf die Ideekommen es in der postgresql.conf
> _noch_mal_ abzuschalten? Ich finde die Doppelte Benutzerverwaltung
> schon
> verwirrend. Das man mit seinem DB-Account (wenn man die Rechte hat)
> einen
> neuen DB-User anlegen kann, es aber einem garnichts nützt, solange
> dieser
> nicht in der pg_hba.conf frei geschaltet wird. Oder das ich keinen
> Einfluss
> als DB-Besitzer habe, auf welche wege sich die von mir angelegten
> Benutzer
> authentifizieren müssen. Und umgekehrt, das der "Master of
> pg_hba.conf" allen
> das Wasser abdrehen darf.

Tja, der "Master of pg_hba.conf" ist nun mal der hostmaster
und hat den Hut auf. Was ist daran falsch? Es ist doch angenehm,
an einer Stelle zentral grundlegende Dinge einzustellen. Und
einfach, nein einfach ist es nicht wirklich, man braucht schon
ne Weile um damit klar zu kommen. Aber schlüssig ist es doch.

Der Scope ist einfach ein anderer, ob Du den Server als Ganzen
betrachtest oder auf einem laufenden System Deine Datenbank
einrichten darfst. In der pg_hba.conf kannst Du z.B. festlegen,
daß der User nur lokal aber nicht übers Netz kommen darf. Und
als sicherheitsorientiertes System sind alle defaults erst mal
er darf nicht. Das ist schon korrekt. So gesehen mag es am
Anfang erst mal doppelt gemoppelt sein, aber es ist doch ver-
ständlicher, wenn alles was nicht erlaubt ist verboten ist.

Und daß man nicht wieder die Zertifikate verschieben muß,
um ssl an- und auszuschalten ist doch auch eher ein Vorteil.
Wenn erst mal alles läuft ist es eigentlich sehr angenehm.

Gruß, Christian

In response to

  • Re: ssl at 2007-09-07 07:52:29 from Olaf Radicke

Browse pgsql-de-allgemein by date

  From Date Subject
Next Message Albe Laurenz 2007-09-07 09:03:30 Re: ssl
Previous Message A. Kretschmer 2007-09-07 08:17:57 Re: ssl