RE: pbm pg_hba.conf et ldap - OK

Bonjour
Merci à tous les deux pour ces réponses.
Je vous informe que j'ai réussi finalement à mettre à jour le fichier pg_hba.conf pour la connexion ldap :
host ldaptest all 0.0.0.0/0 ldap ldapserver=XXX.XXX.XXX.XXX ldapport="389" ldapbasedn="ou=users, ou=people, dc=edf, dc=fr" ldapbinddn="cn=admin,dc=edf,dc=fr" ldapbindpasswd="XXX_XXX"

Mon instance peut démarrer maintenant. Et Je peux même me connecter avec un user applicatif déclaré dans mon annuaire ldap et dans mon instance PostgreSQL :
>>
[postgres(at)PCYYYPJ0 conf]$ psql -h XXX.XXX.XXX.XXX -p 5432 -U didier ldaptest
Password for user didier:
psql (10.1)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.

ldaptest=>
<<
C'est OK.

Par contre , vous m'inquiétez sur la sécurité. Comment faire pour améliorer cette méthode de connexion ? chiffrer la connexion ? , utiliser un certificat ?
Merci d'avance pour vos propositions.

Cordialement
[cid:image003(dot)png(at)01D38540(dot)98F0DEC0]
Didier ROS
DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative
Expertise SGBD
32 Avenue Pablo Picasso
92000 NANTERRE
Bureau : E2 565D (aile Nord-Est)
Tél. : 01.78.66.61.14
Tél. mobile : 06.49.51.11.88
Fax : 01.78.66.93.47

De : jmarsac(at)azimut(dot)fr [mailto:jmarsac(at)azimut(dot)fr]
Envoyé : mercredi 3 janvier 2018 23:06
À : vik(dot)fearing(at)2ndquadrant(dot)com; pgsql-fr-generale(at)lists(dot)postgresql(dot)org
Objet : Re: pbm pg_hba.conf et ldap

Le 03/01/2018 à 22:39, Vik Fearing a écrit :

On 01/03/2018 10:26 PM, Jean-Marie Arsac wrote:

Le 03/01/2018 à 22:16, Vik Fearing a écrit :

On 01/03/2018 02:42 PM, ROS Didier wrote:

Bonjour

Je teste la connexion à une instance PostgreSQL via un

serveur ldap.

Pour cela, je dois insérer dans le fichier pg_hba.conf

une commande du type :

host ldaptest all 0.0.0.0/0 ldap

ldapserver=XXX.XXX.XXX.XXX ldapprefix="uid=" ldapsuffix=", ou=users,

ou=people, dc=edf, dc=fr" ldapbinddn="cn=admin,dc=edf,dc=fr"

ldapbindpasswd="XXXXXX _XXX"

Le problème est que cette ligne de commande est trop

grande et l'instance ne veut pas démarrer à cause de cela.

Il y aurait-il une solution pour contourner ce problème ?

Salut Didier,

Les options (ldap ou autre) ne peuvent pas faire plus de 255 octets. Je

suppose que tu les dépasse.

Un des gros inconvénients de ldap est que le client envoie le mot de

passe en clair au serveur (pour que ce dernier puisse l'envoyer au

serveur ldap). Et en plus tu mets le ldapbindpasswd dans ton

pg_hba.conf, ce qui est Bad News.

Il vaudrait mieux configurer la méthode gssapi (qui est compatible avec

Active Directory, par exemple).

https://www.postgresql.org/docs/current/static/auth-methods.html#GSSAPI-AUTH

Bonsoir,

J'avais pensé à une limite de ce genre, mais apparemment la ligne fait

213 caractères.

Quel est le message d'erreur exact ?

En utilisant la ligne fournie par Didier (avec XXX et tout), j'ai ça

déjà : cannot use ldapbasedn, ldapbinddn, ldapbindpasswd,

ldapsearchattribute, or ldapurl together with ldapprefix
J'ai le même message en mettant une adresse IP ; je me référais simplement au commentaire de Didier qui expliquait le non démarrage par la longueur de la ligne, ce qui n'est apparemment pas le cas.

--

Jean-Marie Arsac

Azimut

http://www.azimut.fr

Mob 06 11 05 88 23

Ce message et toutes les pièces jointes (ci-après le 'Message') sont établis à l'intention exclusive des destinataires et les informations qui y figurent sont strictement confidentielles. Toute utilisation de ce Message non conforme à sa destination, toute diffusion ou toute publication totale ou partielle, est interdite sauf autorisation expresse.

Si vous n'êtes pas le destinataire de ce Message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce Message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et de n'en garder aucune trace sur quelque support que ce soit. Nous vous remercions également d'en avertir immédiatement l'expéditeur par retour du message.

Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus.
____________________________________________________

This message and any attachments (the 'Message') are intended solely for the addressees. The information contained in this Message is confidential. Any use of information contained in this Message not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval.

If you are not the addressee, you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return message.

E-mail communication cannot be guaranteed to be timely secure, error or virus-free.