Re: pbm pg_hba.conf et ldap

Bonjour

Je teste la connexion à une instance PostgreSQL via un serveur ldap.
Pour cela, je dois insérer dans le fichier pg_hba.conf une commande du type :
host ldaptest all 0.0.0.0/0 ldap ldapserver=XXX.XXX.XXX.XXX ldapprefix="uid=" ldapsuffix=", ou=users, ou=people, dc=edf, dc=fr" ldapbinddn="cn=admin,dc=edf,dc=fr" ldapbindpasswd="XXXXXX _XXX"

Le problème est que cette ligne de commande est trop grande et l'instance ne veut pas démarrer à cause de cela.
Il y aurait-il une solution pour contourner ce problème ?

Merci d'avance

Cordialement
[cid:image003(dot)png(at)01D384A1(dot)05B8BAF0]
Didier ROS
DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative
Expertise SGBD
32 Avenue Pablo Picasso
92000 NANTERRE
Bureau : E2 565D (aile Nord-Est)
Tél. : 01.78.66.61.14
Tél. mobile : 06.49.51.11.88
Fax : 01.78.66.93.47
Mail : didier(dot)ros(at)edf(dot)fr

Ce message et toutes les pièces jointes (ci-après le 'Message') sont établis à l'intention exclusive des destinataires et les informations qui y figurent sont strictement confidentielles. Toute utilisation de ce Message non conforme à sa destination, toute diffusion ou toute publication totale ou partielle, est interdite sauf autorisation expresse.

Si vous n'êtes pas le destinataire de ce Message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce Message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et de n'en garder aucune trace sur quelque support que ce soit. Nous vous remercions également d'en avertir immédiatement l'expéditeur par retour du message.

Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus.
____________________________________________________

This message and any attachments (the 'Message') are intended solely for the addressees. The information contained in this Message is confidential. Any use of information contained in this Message not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval.

If you are not the addressee, you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return message.

E-mail communication cannot be guaranteed to be timely secure, error or virus-free.

On 01/03/2018 02:42 PM, ROS Didier wrote:
> Bonjour
>
>  
>
>                Je teste la connexion à une instance PostgreSQL via un
> serveur ldap.
>
>                Pour cela, je dois insérer dans le fichier pg_hba.conf
> une commande du type :
>
> host        ldaptest      all       0.0.0.0/0    ldap
> ldapserver=XXX.XXX.XXX.XXX ldapprefix="uid=" ldapsuffix=", ou=users,
> ou=people, dc=edf, dc=fr"  ldapbinddn="cn=admin,dc=edf,dc=fr"
> ldapbindpasswd="XXXXXX _XXX"
>
>  
>
>                Le problème est que cette ligne de commande est trop
> grande et l’instance ne veut pas démarrer à cause de cela.
>
>                Il y aurait-il une solution pour contourner ce problème ?

Salut Didier,

Les options (ldap ou autre) ne peuvent pas faire plus de 255 octets. Je
suppose que tu les dépasse.

Un des gros inconvénients de ldap est que le client envoie le mot de
passe en clair au serveur (pour que ce dernier puisse l'envoyer au
serveur ldap). Et en plus tu mets le ldapbindpasswd dans ton
pg_hba.conf, ce qui est Bad News.

Il vaudrait mieux configurer la méthode gssapi (qui est compatible avec
Active Directory, par exemple).

/docs/current/static/auth-methods.html#GSSAPI-AUTH
--
Vik Fearing +33 6 46 75 15 36
http://2ndQuadrant.fr PostgreSQL : Expertise, Formation et Support

Le 03/01/2018 à 22:16, Vik Fearing a écrit :
> On 01/03/2018 02:42 PM, ROS Didier wrote:
>> Bonjour
>>
>>  
>>
>>                Je teste la connexion à une instance PostgreSQL via un
>> serveur ldap.
>>
>>                Pour cela, je dois insérer dans le fichier pg_hba.conf
>> une commande du type :
>>
>> host        ldaptest      all       0.0.0.0/0    ldap
>> ldapserver=XXX.XXX.XXX.XXX ldapprefix="uid=" ldapsuffix=", ou=users,
>> ou=people, dc=edf, dc=fr"  ldapbinddn="cn=admin,dc=edf,dc=fr"
>> ldapbindpasswd="XXXXXX _XXX"
>>
>>  
>>
>>                Le problème est que cette ligne de commande est trop
>> grande et l’instance ne veut pas démarrer à cause de cela.
>>
>>                Il y aurait-il une solution pour contourner ce problème ?
> Salut Didier,
>
> Les options (ldap ou autre) ne peuvent pas faire plus de 255 octets. Je
> suppose que tu les dépasse.
>
> Un des gros inconvénients de ldap est que le client envoie le mot de
> passe en clair au serveur (pour que ce dernier puisse l'envoyer au
> serveur ldap). Et en plus tu mets le ldapbindpasswd dans ton
> pg_hba.conf, ce qui est Bad News.
>
> Il vaudrait mieux configurer la méthode gssapi (qui est compatible avec
> Active Directory, par exemple).
>
> /docs/current/static/auth-methods.html#GSSAPI-AUTH

Bonsoir,

J'avais pensé à une limite de ce genre, mais apparemment  la ligne fait
213 caractères.

--
Jean-Marie Arsac
Azimut
http://www.azimut.fr
Mob 06 11 05 88 23

On 01/03/2018 10:26 PM, Jean-Marie Arsac wrote:
> Le 03/01/2018 à 22:16, Vik Fearing a écrit :
>> On 01/03/2018 02:42 PM, ROS Didier wrote:
>>> Bonjour
>>>
>>>  
>>>
>>>                Je teste la connexion à une instance PostgreSQL via un
>>> serveur ldap.
>>>
>>>                Pour cela, je dois insérer dans le fichier pg_hba.conf
>>> une commande du type :
>>>
>>> host        ldaptest      all       0.0.0.0/0    ldap
>>> ldapserver=XXX.XXX.XXX.XXX ldapprefix="uid=" ldapsuffix=", ou=users,
>>> ou=people, dc=edf, dc=fr"  ldapbinddn="cn=admin,dc=edf,dc=fr"
>>> ldapbindpasswd="XXXXXX _XXX"
>>>
>>>  
>>>
>>>                Le problème est que cette ligne de commande est trop
>>> grande et l’instance ne veut pas démarrer à cause de cela.
>>>
>>>                Il y aurait-il une solution pour contourner ce problème ?
>> Salut Didier,
>>
>> Les options (ldap ou autre) ne peuvent pas faire plus de 255 octets. Je
>> suppose que tu les dépasse.
>>
>> Un des gros inconvénients de ldap est que le client envoie le mot de
>> passe en clair au serveur (pour que ce dernier puisse l'envoyer au
>> serveur ldap). Et en plus tu mets le ldapbindpasswd dans ton
>> pg_hba.conf, ce qui est Bad News.
>>
>> Il vaudrait mieux configurer la méthode gssapi (qui est compatible avec
>> Active Directory, par exemple).
>>
>> /docs/current/static/auth-methods.html#GSSAPI-AUTH
>
> Bonsoir,
>
> J'avais pensé à une limite de ce genre, mais apparemment  la ligne fait
> 213 caractères.

Quel est le message d'erreur exact ?

En utilisant la ligne fournie par Didier (avec XXX et tout), j'ai ça
déjà : cannot use ldapbasedn, ldapbinddn, ldapbindpasswd,
ldapsearchattribute, or ldapurl together with ldapprefix
--
Vik Fearing +33 6 46 75 15 36
http://2ndQuadrant.fr PostgreSQL : Expertise, Formation et Support

Le 03/01/2018 à 22:39, Vik Fearing a écrit :
> On 01/03/2018 10:26 PM, Jean-Marie Arsac wrote:
>> Le 03/01/2018 à 22:16, Vik Fearing a écrit :
>>> On 01/03/2018 02:42 PM, ROS Didier wrote:
>>>> Bonjour
>>>>
>>>>  
>>>>
>>>>                Je teste la connexion à une instance PostgreSQL via un
>>>> serveur ldap.
>>>>
>>>>                Pour cela, je dois insérer dans le fichier pg_hba.conf
>>>> une commande du type :
>>>>
>>>> host        ldaptest      all       0.0.0.0/0    ldap
>>>> ldapserver=XXX.XXX.XXX.XXX ldapprefix="uid=" ldapsuffix=", ou=users,
>>>> ou=people, dc=edf, dc=fr"  ldapbinddn="cn=admin,dc=edf,dc=fr"
>>>> ldapbindpasswd="XXXXXX _XXX"
>>>>
>>>>  
>>>>
>>>>                Le problème est que cette ligne de commande est trop
>>>> grande et l’instance ne veut pas démarrer à cause de cela.
>>>>
>>>>                Il y aurait-il une solution pour contourner ce problème ?
>>> Salut Didier,
>>>
>>> Les options (ldap ou autre) ne peuvent pas faire plus de 255 octets. Je
>>> suppose que tu les dépasse.
>>>
>>> Un des gros inconvénients de ldap est que le client envoie le mot de
>>> passe en clair au serveur (pour que ce dernier puisse l'envoyer au
>>> serveur ldap). Et en plus tu mets le ldapbindpasswd dans ton
>>> pg_hba.conf, ce qui est Bad News.
>>>
>>> Il vaudrait mieux configurer la méthode gssapi (qui est compatible avec
>>> Active Directory, par exemple).
>>>
>>> /docs/current/static/auth-methods.html#GSSAPI-AUTH
>> Bonsoir,
>>
>> J'avais pensé à une limite de ce genre, mais apparemment  la ligne fait
>> 213 caractères.
> Quel est le message d'erreur exact ?
>
> En utilisant la ligne fournie par Didier (avec XXX et tout), j'ai ça
> déjà : cannot use ldapbasedn, ldapbinddn, ldapbindpasswd,
> ldapsearchattribute, or ldapurl together with ldapprefix
J'ai le même message en mettant une adresse IP ; je me référais
simplement au commentaire de Didier qui expliquait le non démarrage par
la longueur de la ligne, ce qui n'est apparemment pas le cas.

--
Jean-Marie Arsac
Azimut
http://www.azimut.fr
Mob 06 11 05 88 23