Re: pg_hba.conf et ip dynamique

Bonjour à tous,

Est-il possible de préciser un nom de machine plutôt qu'une ip dans
pg_hba.conf?

Je voudrais me connecter à un serveur PostgreSql mais mon ip est dynamique et
j'utilise un client pour dyndns.org

Merci d'avance pour votre aide

--
Benoît

Benoît Barbier writes

> Est-il possible de préciser un nom de machine plutôt qu'une ip dans
> pg_hba.conf?
>
> Je voudrais me connecter à un serveur PostgreSql mais mon ip est dynamique et
> j'utilise un client pour dyndns.org

Je ne crois pas que ce soit possible, mais si vous avez un service ssh sur la
machine portant le serveur postgresql, vous pouvez utiliser un tunnel ssh qui
s'avère être une meilleure méthode pour résoudre ce problème d'IP variable.

En réalité le serveur ssh peut même tourner sur une machine tierce à partir du
moment où celle-là a une IP fixe et a les droits d'accès via pg_hba.conf

--
Daniel
PostgreSQL-powered mail user agent and storage: http://www.manitou-mail.org

On Wed, 11 Aug 2004 15:31:31 +0200
"Daniel Verite" <daniel(at)manitou-mail(dot)org> wrote:

> Benoît Barbier writes
>
> > Est-il possible de préciser un nom de machine plutôt qu'une ip dans
> > pg_hba.conf?
> >
> > Je voudrais me connecter à un serveur PostgreSql mais mon ip est dynamique
> > et j'utilise un client pour dyndns.org
>
> Je ne crois pas que ce soit possible, mais si vous avez un service ssh sur
> la machine portant le serveur postgresql, vous pouvez utiliser un tunnel ssh
> qui s'avère être une meilleure méthode pour résoudre ce problème d'IP
> variable.

[...]

Oui il y a bien ssh sur le serveur, est-ce que c'est possible sans login sur
le système de fichier?

Quel est la config pour utiliser ce tunel?

Merci d'avance,

--
Benoît

Benoît Barbier writes

> Oui il y a bien ssh sur le serveur, est-ce que c'est possible sans login sur
> le système de fichier?

Pas vraiment mais les droits de l'utilisateur sur le système de fichiers peuvent
être restreints via la sécu unix classique. Ca peut être complètement blindé en
utilisant chroot avec ssh. Il y un tutoriel à ce sujet dans debian:
http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html
mais il est clair que ce n'est pas évident à mettre en place.

Ensuite pour ce qui est de l'utilisation, en supposant que vous avez un login
toto sur le serveur qui peut se connecter à postgresql en tant qu'utilisateur
pgtoto sur une base pgbase, ça donne sur le poste client à IP variable:

pour ouvrir une session:
$ ssh le_serveur -L 5432:le_serveur:5432 -l toto

pour accéder à la base:
$ psql -h localhost -d pgbase -U pgtoto
(psql ou n'importe quelle autre appli cliente)

Le principe c'est que ssh va s'arranger pour faire transiter les échanges TCP/IP
entre psql et postgresql via son canal sécurisé et précédemment authentifié.
Du point de vue du serveur postgresql, la connexion ne vient pas du client
distant mais de localhost, c'est comme si toto lançait un psql en local sur le
serveur.

D'autres explications sont trouvables dans la doc postgresql:
http://www.postgresql.org/docs/7.4/interactive/ssh-tunnels.html
C'est un peu compliqué à expliquer mais en réalité le principe lui-même n'est
guère plus compliqué que, disons, celui de la rallonge électrique :)

--
Daniel
PostgreSQL-powered mail user agent and storage: http://www.manitou-mail.org