Fwd: Postgre und GIS Umstellung von MD5 auf SCUM SHA 256

Liebe Community,

Wir haben versucht, die Authentizierung in unserer postgresql-Umgebung von
MD5 zu SCRUM SHA 256 zu ändern (PostgreSQL V.11)

- Stoppen Sie die Dienste und beenden alle aktiven Verbindungen
- mit alter and set pw den Editor-Benutzer auf sha (psql) geändert -
überprüft, ob die pw-Änderung erfolgreich war (psql und pg4admin)
- versucht, ein neues Dokument vom GIS-Desktop aus zu öffnen und zu
bearbeiten --> Fehlermeldung. Verbindung nicht vorhanden
- nach ein paar minuten synchronisierte sich das pw und änderte sich
automatisch zurück auf MD5

Meine Fragen sind:
Ist es möglich, mit GIS-Dateien (Desktop und Web) zu arbeiten, nachdem pw
auf SHA 256 geändert wurde? Wir möchten es auch nicht direkt für gisadmin
(Owner all DB'S) ändern

Werden die Änderungen aufgrund der Synchronisierung automatisch auf MD5
zurückgesetzt? In unserer Testumgebung haben wir es auch gemacht und
erfolgreich getestet und die einzige Unterschied war, dass wir auch
pg_hba_conf geändert haben
host postgres all 172.xxx.xxx.83/32 scram-sha-256
sowie DB USER ADDRESS METHOD --> trust and scram-sha-256
überall gesetzt.

Vielen Dank im Voraus
Mit freundlichen Grüßen
Nikola Lubenow

Moin Nikola,

hast du folgende Anleitung berücksichtigt?

* https://www.crunchydata.com/blog/how-to-upgrade-postgresql-passwords-to-scram

Von welcher Synchronisierung sprichst du? Du hast nicht erwähnt, dass du
mehr als einen Server in Betrieb hast. Aber selbst wenn, würde nur vom
Primary zum Secondary repliziert (unidirektional), und auf dem Secondary
könnte man die Kennwörter nicht ändern.

Viele Grüße

Holger

Am 24.11.22 um 08:34 schrieb Nikolas Hanry:
>
>
> Liebe Community,
>
> Wir haben versucht, die Authentizierung  in unserer
> postgresql-Umgebung von MD5 zu SCRUM SHA 256 zu ändern (PostgreSQL V.11)
>
>
> - Stoppen Sie die Dienste und beenden alle aktiven Verbindungen
> - mit alter and set pw den Editor-Benutzer auf sha (psql) geändert -
> überprüft, ob die pw-Änderung erfolgreich war (psql und pg4admin)
> - versucht, ein neues Dokument vom GIS-Desktop aus zu öffnen und zu
> bearbeiten --> Fehlermeldung. Verbindung nicht vorhanden
> - nach ein paar minuten synchronisierte sich das pw und änderte sich
> automatisch zurück auf MD5
>
> Meine Fragen sind:
> Ist es möglich, mit GIS-Dateien (Desktop und Web) zu arbeiten, nachdem
> pw auf SHA 256 geändert wurde? Wir möchten es auch nicht direkt für
> gisadmin (Owner all DB'S) ändern
>
> Werden die Änderungen aufgrund der Synchronisierung automatisch auf
> MD5 zurückgesetzt? In unserer Testumgebung haben wir es auch gemacht
> und erfolgreich getestet und die einzige Unterschied war, dass wir
> auch pg_hba_conf geändert haben
> host     postgres      all        172.xxx.xxx.83/32  scram-sha-256
> sowie   DB  USER      ADDRESS     METHOD    --> trust and
> scram-sha-256 überall gesetzt.
>
> Vielen Dank im Voraus
> Mit freundlichen Grüßen
> Nikola Lubenow

--
Holger Jakobs, Bergisch Gladbach, Tel. +49-178-9759012

Re: Nikolas Hanry
> Werden die Änderungen aufgrund der Synchronisierung automatisch auf MD5
> zurückgesetzt? In unserer Testumgebung haben wir es auch gemacht und
> erfolgreich getestet und die einzige Unterschied war, dass wir auch
> pg_hba_conf geändert haben
> host postgres all 172.xxx.xxx.83/32 scram-sha-256
> sowie DB USER ADDRESS METHOD --> trust and scram-sha-256
> überall gesetzt.

Was genau war in der Testumgebung eingestellt? Wenn da "trust" aktiv
war, ist es nicht verwunderlich, dass es da getan hat.

Vielleicht ist die GIS-Anwendung so alt, dass sie noch kein scram
kann?

Christoph

Hallo Christoph,

vielen Dank. Ja es kann gut möglich sein, dass die GIS Anwendung zu alt ist
und ich werde es nochmal prüfen.

Ich bin mir nicht sicher wenn in config pg_hba_conf MD5 nur MD5 auf der
produktiven Umgebung steht, dass es deswegen dann wieder auf MD5 umgestellt
wird? (sieh Screenshot rechte Seite ist unsere Testumgebung dort war die
Umstellung erfolgreich und links ist produktiv und hat nicht geklappt)

Testumgebung ist auf trust aktiv und dort hat es funktioniert und Produktiv
ist nur auf MD5 ausgelegt worden und hat nicht geklappt.

Die Umsetzung auf den test sowohl produktiven Umgebung:
[image: image.png]
[image: image.png]
[image: image.png]

Wir haben danach kurz geprüft und show pw encryption zeigte tatsächlich
SCRUm SHA. Dann wurde versucht eine GIS Datei zu öffnen und kam die
Meldung: Keine Verbindung

Danach wurde das pw händisch in pg4admin gesetzt und es funktionierte
wieder, allerdings war schon wieder der User mit MD5 authz.

Viele Grüße
Nikola

On Thu, Nov 24, 2022 at 10:48 AM Christoph Berg <myon(at)debian(dot)org> wrote:

> Re: Nikolas Hanry
> > Werden die Änderungen aufgrund der Synchronisierung automatisch auf MD5
> > zurückgesetzt? In unserer Testumgebung haben wir es auch gemacht und
> > erfolgreich getestet und die einzige Unterschied war, dass wir auch
> > pg_hba_conf geändert haben
> > host postgres all 172.xxx.xxx.83/32 scram-sha-256
> > sowie DB USER ADDRESS METHOD --> trust and scram-sha-256
> > überall gesetzt.
>
> Was genau war in der Testumgebung eingestellt? Wenn da "trust" aktiv
> war, ist es nicht verwunderlich, dass es da getan hat.
>
> Vielleicht ist die GIS-Anwendung so alt, dass sie noch kein scram
> kann?
>
> Christoph
>

Re: Nikolas Hanry
> Ich bin mir nicht sicher wenn in config pg_hba_conf MD5 nur MD5 auf der
> produktiven Umgebung steht, dass es deswegen dann wieder auf MD5 umgestellt
> wird? (sieh Screenshot rechte Seite ist unsere Testumgebung dort war die
> Umstellung erfolgreich und links ist produktiv und hat nicht geklappt)

PostgreSQL schreibt seine Config-Files nicht um. Wenn sich das "von
selbst" geändert hat, war das ein Config-Management oder sonst was.

> Wir haben danach kurz geprüft und show pw encryption zeigte tatsächlich
> SCRUm SHA. Dann wurde versucht eine GIS Datei zu öffnen und kam die
> Meldung: Keine Verbindung
>
> Danach wurde das pw händisch in pg4admin gesetzt und es funktionierte
> wieder, allerdings war schon wieder der User mit MD5 authz.

Es gibt hier zwei Dinge zu beachten:

In der pg_hba.conf erlaubt "md5" sowohl Login mit md5, als auch mit
scram. Wenn man "scram-sha-256" einstellt, ist nur noch scram möglich,
kein md5 mehr.

Entscheidend ist aber, in welchem Format das Password in pg_authid
gespeichert ist. Nur mit diesem Format/Protokoll kann dann auch eine
Verbindung aufgebaut werden. Das wird nicht durch die pg_hba.conf
festgelegt, sondern durch die Einstellung des Parameters
password_encryption zum Zeitpunkt, wo das Passwort gesetzt wurde.

Kann man mit "select * from pg_authid" prüfen, wenn das Password mit
md5 anfängt, ist es md5, wenn es mit $ anfängt, ist es scram.

Wenn man von md5 auf scram migrieren möchte, muss man
password_encryption umstellen und dann alle User-Passwörter neu
setzen.

Christoph

Guten Morgen Christoph und vielen Dank für die Erläuterung.

Ich werde die Anweisungen folgen und nochmal probieren, denke es wird dann
gehen.

Viele Grüße
Nikola

On Thu, Nov 24, 2022 at 3:26 PM Christoph Berg <myon(at)debian(dot)org> wrote:

> Re: Nikolas Hanry
> > Ich bin mir nicht sicher wenn in config pg_hba_conf MD5 nur MD5 auf der
> > produktiven Umgebung steht, dass es deswegen dann wieder auf MD5
> umgestellt
> > wird? (sieh Screenshot rechte Seite ist unsere Testumgebung dort war die
> > Umstellung erfolgreich und links ist produktiv und hat nicht geklappt)
>
> PostgreSQL schreibt seine Config-Files nicht um. Wenn sich das "von
> selbst" geändert hat, war das ein Config-Management oder sonst was.
>
> > Wir haben danach kurz geprüft und show pw encryption zeigte tatsächlich
> > SCRUm SHA. Dann wurde versucht eine GIS Datei zu öffnen und kam die
> > Meldung: Keine Verbindung
> >
> > Danach wurde das pw händisch in pg4admin gesetzt und es funktionierte
> > wieder, allerdings war schon wieder der User mit MD5 authz.
>
> Es gibt hier zwei Dinge zu beachten:
>
> In der pg_hba.conf erlaubt "md5" sowohl Login mit md5, als auch mit
> scram. Wenn man "scram-sha-256" einstellt, ist nur noch scram möglich,
> kein md5 mehr.
>
> Entscheidend ist aber, in welchem Format das Password in pg_authid
> gespeichert ist. Nur mit diesem Format/Protokoll kann dann auch eine
> Verbindung aufgebaut werden. Das wird nicht durch die pg_hba.conf
> festgelegt, sondern durch die Einstellung des Parameters
> password_encryption zum Zeitpunkt, wo das Passwort gesetzt wurde.
>
> Kann man mit "select * from pg_authid" prüfen, wenn das Password mit
> md5 anfängt, ist es md5, wenn es mit $ anfängt, ist es scram.
>
> Wenn man von md5 auf scram migrieren möchte, muss man
> password_encryption umstellen und dann alle User-Passwörter neu
> setzen.
>
> Christoph
>