1 Feb
2023
1 Feb
'23
2:03 p.m.
Message posté par : Léandre Béron
----------------------------------------
Bonjour,
Dans le cadre du développement d'une stratégie d'administration de données pour
une collectivité, je suis tombé sur la méthode d'identification LDAP à partir de
postgreSQL.
Aujourd'hui non connecté à notre LDAP, nous utilisons actuellement le raisonnement
suivant :
- comptes pour le service : sig_admin (droit propriétaire sur tout (non superuser)). 3 à 4
utilisateurs peuvent utiliser ce compte pour travailler sur la BDD. D'autres comptes
du service devraient suivre, comme un sig_edit et un sig_read avec des privilèges
différents.
- 1 compte par utilisateur métier
Au niveau des droits, nous raisonnons par groupe de service de la collectivité, avec 2
types de groupe :
- [SERVICE]_R --> Uniquement de la lecture
- [SERVICE_RW] --> Lecture & Ecriture
Chaque utilisateur est donc présent dans le ou les groupes concernés.
Plusieurs questions se posent donc si nous passions à une authentification LDAP :
Premièrement, cela signifie visiblement que le user doit être DANS PostgreSQL ET dans
l'AD : Peut-on conserver un compte sig_admin qui n'est pas dans notre AD
uniquement pour notre accès en tant qu'administrateur (4 personnes différentes) ? les
rôles pg_ de base ne sont visiblement pas impacté eux, mais les autres ?
Egalement, selon notre gestion actuelle (les groupes ont des accès/droits, dans lesquels
des utilisateurs en font partie), comment cela se passerait-il avec une authentification
LDAP ? Nous allons devoir ajouter les utilisateurs concernés en ayant EXACTEMENT le même
nom dans l'AD et dans PostGreSQL, mais qu'indiquons-nous dans l'item
"password" lors de la création côté PostGreSQL ? (Nous n'avons pas vocation
à mettre toute l'AD dans PostgreSQL, donc nous n'utiliserons pas l'outil
ldap2pg)
Ensuite, comment cela va se passer pour les groupes ? On les conserve dans PostGreSQL et
lors de l'authentification de l'utilisateur, on va checker le password via
l'AD et, une fois connecté, les groupes [SERVICE]_R et [SERVICE]_RW vont fonctionner
de la même manière (bien que ces groupes n'existent pas dans notre AD mais uniquement
les utilisateurs qui seraient rattachés à ce/ces groupe(s) côté postgres ?
Je n'ai malheureusement pas trouvé d'exemples qui évoquaient cela pour répondre à
mes questions.
En vous remerciant,
Léandre BERON
----------------------------------------
Le message est situé https://georezo.net/forum/viewtopic.php?pid=358149#p358149
Pour y répondre : geobd(a)ml.georezo.net ou reply de votre messagerie
Pour vous désabonner connectez-vous sur le forum puis Profil / Abonnement
--
Association GeoRezo - le portail géomatique
https://georezo.net
1 Feb
1 Feb
4:19 p.m.
Message posté par : T. Rossini
----------------------------------------
Bonjour
-----------------
Citation :
Premièrement, cela signifie visiblement que le user doit être DANS PostgreSQL ET dans
l'AD
-----------------
Oui.
-----------------
Citation :
Peut-on conserver un compte sig_admin qui n'est pas dans notre AD uniquement pour
notre accès en tant qu'administrateur (4 personnes différentes) ? les rôles pg_ de
base ne sont visiblement pas impacté eux, mais les autres ?
-----------------
oui vous pouvez conserver une ligne dans votre hba qui cible le rôle de connexion
postgresql sig_admin et qui utilisera une methode de connexion classique comme md5 ou
scram.
-----------------
Citation :
[nous n]'indiquons-nous dans l'item "password" lors de la création côté
PostGreSQL ? (Nous n'avons pas vocation à mettre toute l'AD dans PostgreSQL, donc
nous n'utiliserons pas l'outil ldap2pg)
-----------------
Pas besoin d'indiquer quoi que ce soit dans comme mot de passe, puisque l'accès à
vos bases se fera uniquement par avec une authentification LDAP.
-----------------
Citation :
Ensuite, comment cela va se passer pour les groupes ? On les conserve dans PostGreSQL et
lors de l'authentification de l'utilisateur, on va checker le password via
l'AD et, une fois connecté, les groupes [SERVICE]_R et [SERVICE]_RW vont fonctionner
de la même manière (bien que ces groupes n'existent pas dans notre AD mais uniquement
les utilisateurs qui seraient rattachés à ce/ces groupe(s) côté postgres ?
-----------------
Oui, les groupes n'ont de sens que dans postgresql, pas besoin de les répercuter dans
l'AD, à moins que vous ne vouliez renforcer la sécurité de l'accès à vos bases qui
serait conditionné à l'appartenance à un groupe AD, mais cela ne parait pas
nécessaire.
----------------------------------------
Le message est situé https://georezo.net/forum/viewtopic.php?pid=358155#p358155
Pour y répondre : geobd(a)ml.georezo.net ou reply de votre messagerie
Pour vous désabonner connectez-vous sur le forum puis Profil / Abonnement
--
Association GeoRezo - le portail géomatique
https://georezo.net
2 Feb
2 Feb
8:40 a.m.
Message posté par : Léandre Béron
----------------------------------------
Bonjour,
Super ! Merci pour ces réponses très précises.
Cordialement,
Léandre BERON
----------------------------------------
Le message est situé https://georezo.net/forum/viewtopic.php?pid=358164#p358164
Pour y répondre : geobd(a)ml.georezo.net ou reply de votre messagerie
Pour vous désabonner connectez-vous sur le forum puis Profil / Abonnement
--
Association GeoRezo - le portail géomatique
https://georezo.net
982
days inactive
983
days old
2 comments
1 participants
participants (1)
-
geobd@georezo.net