| From: | Jean-Marie Arsac <jmarsac(at)azimut(dot)fr> |
|---|---|
| To: | Vik Fearing <vik(dot)fearing(at)2ndquadrant(dot)com>, pgsql-fr-generale(at)lists(dot)postgresql(dot)org |
| Subject: | Re: pbm pg_hba.conf et ldap |
| Date: | 2018-01-03 22:06:12 |
| Message-ID: | a3ee0730-ee4e-72b7-c4b4-276490d04f12@azimut.fr |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-fr-generale |
Le 03/01/2018 à 22:39, Vik Fearing a écrit :
> On 01/03/2018 10:26 PM, Jean-Marie Arsac wrote:
>> Le 03/01/2018 à 22:16, Vik Fearing a écrit :
>>> On 01/03/2018 02:42 PM, ROS Didier wrote:
>>>> Bonjour
>>>>
>>>>
>>>>
>>>> Je teste la connexion à une instance PostgreSQL via un
>>>> serveur ldap.
>>>>
>>>> Pour cela, je dois insérer dans le fichier pg_hba.conf
>>>> une commande du type :
>>>>
>>>> host ldaptest all 0.0.0.0/0 ldap
>>>> ldapserver=XXX.XXX.XXX.XXX ldapprefix="uid=" ldapsuffix=", ou=users,
>>>> ou=people, dc=edf, dc=fr" ldapbinddn="cn=admin,dc=edf,dc=fr"
>>>> ldapbindpasswd="XXXXXX _XXX"
>>>>
>>>>
>>>>
>>>> Le problème est que cette ligne de commande est trop
>>>> grande et l’instance ne veut pas démarrer à cause de cela.
>>>>
>>>> Il y aurait-il une solution pour contourner ce problème ?
>>> Salut Didier,
>>>
>>> Les options (ldap ou autre) ne peuvent pas faire plus de 255 octets. Je
>>> suppose que tu les dépasse.
>>>
>>> Un des gros inconvénients de ldap est que le client envoie le mot de
>>> passe en clair au serveur (pour que ce dernier puisse l'envoyer au
>>> serveur ldap). Et en plus tu mets le ldapbindpasswd dans ton
>>> pg_hba.conf, ce qui est Bad News.
>>>
>>> Il vaudrait mieux configurer la méthode gssapi (qui est compatible avec
>>> Active Directory, par exemple).
>>>
>>> https://www.postgresql.org/docs/current/static/auth-methods.html#GSSAPI-AUTH
>> Bonsoir,
>>
>> J'avais pensé à une limite de ce genre, mais apparemment la ligne fait
>> 213 caractères.
> Quel est le message d'erreur exact ?
>
> En utilisant la ligne fournie par Didier (avec XXX et tout), j'ai ça
> déjà : cannot use ldapbasedn, ldapbinddn, ldapbindpasswd,
> ldapsearchattribute, or ldapurl together with ldapprefix
J'ai le même message en mettant une adresse IP ; je me référais
simplement au commentaire de Didier qui expliquait le non démarrage par
la longueur de la ligne, ce qui n'est apparemment pas le cas.
--
Jean-Marie Arsac
Azimut
http://www.azimut.fr
Mob 06 11 05 88 23
| From | Date | Subject | |
|---|---|---|---|
| Next Message | ROS Didier | 2018-01-04 08:44:22 | RE: pbm pg_hba.conf et ldap - OK |
| Previous Message | Vik Fearing | 2018-01-03 21:39:05 | Re: pbm pg_hba.conf et ldap |