Re: Fwd: Postgres und GIS Umstellung von MD5 auf SCRAM SHA 256

Guten Morgen Christoph und vielen Dank für die Erläuterung.

Ich werde die Anweisungen folgen und nochmal probieren, denke es wird dann
gehen.

Viele Grüße
Nikola

On Thu, Nov 24, 2022 at 3:26 PM Christoph Berg <myon(at)debian(dot)org> wrote:

> Re: Nikolas Hanry
> > Ich bin mir nicht sicher wenn in config pg_hba_conf MD5 nur MD5 auf der
> > produktiven Umgebung steht, dass es deswegen dann wieder auf MD5
> umgestellt
> > wird? (sieh Screenshot rechte Seite ist unsere Testumgebung dort war die
> > Umstellung erfolgreich und links ist produktiv und hat nicht geklappt)
>
> PostgreSQL schreibt seine Config-Files nicht um. Wenn sich das "von
> selbst" geändert hat, war das ein Config-Management oder sonst was.
>
> > Wir haben danach kurz geprüft und show pw encryption zeigte tatsächlich
> > SCRUm SHA. Dann wurde versucht eine GIS Datei zu öffnen und kam die
> > Meldung: Keine Verbindung
> >
> > Danach wurde das pw händisch in pg4admin gesetzt und es funktionierte
> > wieder, allerdings war schon wieder der User mit MD5 authz.
>
> Es gibt hier zwei Dinge zu beachten:
>
> In der pg_hba.conf erlaubt "md5" sowohl Login mit md5, als auch mit
> scram. Wenn man "scram-sha-256" einstellt, ist nur noch scram möglich,
> kein md5 mehr.
>
> Entscheidend ist aber, in welchem Format das Password in pg_authid
> gespeichert ist. Nur mit diesem Format/Protokoll kann dann auch eine
> Verbindung aufgebaut werden. Das wird nicht durch die pg_hba.conf
> festgelegt, sondern durch die Einstellung des Parameters
> password_encryption zum Zeitpunkt, wo das Passwort gesetzt wurde.
>
> Kann man mit "select * from pg_authid" prüfen, wenn das Password mit
> md5 anfängt, ist es md5, wenn es mit $ anfängt, ist es scram.
>
> Wenn man von md5 auf scram migrieren möchte, muss man
> password_encryption umstellen und dann alle User-Passwörter neu
> setzen.
>
> Christoph
>