Re: Userverwaltung an /etc/passwd koppeln

Hallo,

gibt es eine Möglichkeit Userkennung und Passwort von PostgreSQL mit der
Userverwaltung des Host-OS zu koppeln? Der User soll gleiche ID und
Passwort in PostgreSQL und seinem OS nutzen. Eine Änderung des Passwortes
im OS soll sich auch auf die Datenbank auswirken.

Gruß Uli
--
Auftragsdatenbank: http://jobjektiv.de/index.html?quelle=pgsql

Ulrich Mietke wrote:
> gibt es eine Möglichkeit Userkennung und Passwort von PostgreSQL mit
> der Userverwaltung des Host-OS zu koppeln? Der User soll gleiche ID
> und Passwort in PostgreSQL und seinem OS nutzen. Eine Änderung des
> Passwortes im OS soll sich auch auf die Datenbank auswirken.

Ja, das kann man machen indem man die Authentifizierungsmethode auf
"pam" stellt. Die Datenbankbenutzer muss man zwar nach wie vor selber
erzeugen, aber die Passwörter werden vom Betriebssystem übernommen (je
nach PAM-Einstellung in /etc/pam.d/postgresql).

--
Peter Eisentraut
http://developer.postgresql.org/~petere/

Hallo Peter,

vielen Dank für deine qualifizierte Antwort.

Peter Eisentraut schrieb:
> Ulrich Mietke wrote:
>> gibt es eine Möglichkeit Userkennung und Passwort von PostgreSQL mit
>> der Userverwaltung des Host-OS zu koppeln? Der User soll gleiche ID
>> und Passwort in PostgreSQL und seinem OS nutzen. Eine Änderung des
>> Passwortes im OS soll sich auch auf die Datenbank auswirken.
>
> Ja, das kann man machen indem man die Authentifizierungsmethode auf
> "pam" stellt.
>
Wenn ich die postgreSQL-Dokumentation richtig verstanden habe, macht man
das mit einem Eintrag in pg_hba.conf

> Die Datenbankbenutzer muss man zwar nach wie vor selber
> erzeugen, aber die Passwörter werden vom Betriebssystem übernommen (je
> nach PAM-Einstellung in /etc/pam.d/postgresql).
>
Das habe ich noch nicht so ganz verstanden.
Ich nutze als OS Debian woody. Bei meiner bisherigen Installation gibt es
keine /etc/pam.d/postgresql. Bei meiner Suche nach einem entsprechenden
Zusatzpaket bin ich zwar mit libpam-pgsql fündig geworden, wenn ich aber
die Paket-Beschreibung
http://packages.debian.org/stable/non-US/libpam-pgsql
richtig interpretiere, macht das Paket es genau anders herum, ein User des
OS wird gegen einen Eintrag in einer postgreSQL-Tabelle geprüft. Weitere
nutzbare Hinweise konnte ich leider bisher noch nicht finden.

Gruß Uli

Ulrich Mietke wrote:
> Wenn ich die postgreSQL-Dokumentation richtig verstanden habe, macht
> man das mit einem Eintrag in pg_hba.conf

Genau.

> Das habe ich noch nicht so ganz verstanden.
> Ich nutze als OS Debian woody. Bei meiner bisherigen Installation
> gibt es keine /etc/pam.d/postgresql.

Die muss man selber schreiben, je nachdem wie man sich die
PAM-Authentifizierung genau vorstellt. Am besten von irgendeinem
anderen Dienst kopieren; so genau kenn ich mich da auch nicht aus.
Vielleicht könnte man die Debian-Maintainer von PostgreSQL bitten, so
eine Datei vorzuinstallieren.

> Bei meiner Suche nach einem
> entsprechenden Zusatzpaket bin ich zwar mit libpam-pgsql fündig
> geworden, wenn ich aber die Paket-Beschreibung
> richtig interpretiere, macht das Paket es genau anders herum,

Richtig. Die Möglichkeiten sind unbegrenzt. :)

--
Peter Eisentraut
http://developer.postgresql.org/~petere/

Peter Eisentraut schrieb:
> Ulrich Mietke wrote:
>
>> ... Bei meiner bisherigen Installation
>> gibt es keine /etc/pam.d/postgresql.
>
> Die muss man selber schreiben, je nachdem wie man sich die
> PAM-Authentifizierung genau vorstellt. Am besten von irgendeinem
> anderen Dienst kopieren; ...
>
Ich werde mal
# The standard Unix authentication modules, used with
# NIS (man nsswitch) as well as normal /etc/passwd and
# /etc/shadow entries.
auth required pam_unix.so nullok
account required pam_unix.so
session required pam_unix.so
testen (wenn ich mir eine zusätzliche Testumgebung gebaut habe).

Vielen Dank

Gruß Uli
--
Auftragsdatenbank: http://jobjektiv.de/index.html