https://www.opennet.ru/openforum/vsluhforumID3/128406.html В статье расскажу про мой опыт настройки СУБД Postgresql для включения аутентификации пользователей через Active Directory с помощью протокола GSSAPI.<br><br>Предполагается, что домен Active Directory и БД Postgresql уже развёрнуты.<br><br>Для примера у меня развёрнут тестовый стенд со следующими параметрами:<br><br>*** Сервер с Active Directory: Windows Server 2022<br>*** Функциональный уровень домена: Windows Server 2016<br>*** Имя домена: domain.test<br>*** Контроллер домена: dc.domain.test<br>*** Клиентский компьютер с Windows 11, присоединённый к домену<br>*** Сервер с БД Postgresql 13 на Debian 11<br>*** DNS имя сервера СУБД: pg-host.domain.test<br><br>++ Установка пакетов на сервере СУБД<br><br>Для систем на базе Debian:<br><br> root# apt install krb5-user postgresql<br><br>++ Настройка Kerberos на сервере СУБД<br><br>В файле /etc/krb5.conf на сервере с СУБД Postgresql добавляем описание для области Kerberos домена Windows:<br><br> [libdefaults]<br> default_realm = DOMAIN.TEST<br> ...<br> [realms]<br> DOMAIN.TEST = {<br> kdc = dc.domain.test<br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#20 Thu, 11 May 2023 13:35:44 GMT день добрый, хотел бы спросить по поводу ldap2pg, как вы его настраивали? Не могу найти нормального ресурса, где был бы хоть мало-мальски описанный мануал, кроме готового yml ничего нет. не будет ли у вас под рукой мануала по настройке и возможностям ldap2pg? <br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#19 Wed, 10 May 2023 08:26:19 GMT Здравствуйте можете вы знаете если через haproxy конектится к базе Postgresql можно как то настроить kerberos ?ну или вообщем у меня кластер Patroni и там я настроил аналогично работает но через порт 5432 а я хотел бы через haproxy <br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#18 Fri, 31 Mar 2023 12:10:36 GMT Мы используем ldap2pg.<br>Он автоматически создает пользователей и роли на основе LDAP.<br>Но, естественно, права для групп надо будет прописать. Благо их меньше, чем пользователей.<br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#17 Fri, 27 Jan 2023 11:10:43 GMT &gt; Дешевле назначать группу в домене, а БД при входе пользователей пусть сама разбирается какие права пользователю с этой группой предоставить.<br><br>Значит СУБД должна авторизовать пользователя в домене, узнавать его группы и при этом хранить информацию о правах групп на свои объекты. При этом при создании своих объектов (пользователей,баз, таблиц в оных) вы обязаны указывать их принадлежность к доменным группам или создавать аналогичные структуры в PG. Ванильный PG умеет только в аутентификацию пользователя в LDAP. Похоже то, что вам нужно - что-то типа https://github.com/larskanis/pg-ldap-sync<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#16 Wed, 25 Jan 2023 16:49:35 GMT Понимаю, что принцип, когда пользователь БД является ещё одновременно и схемой со своими таблицами и прочим, возник, наверное, не на пустом месте и чем то был обусловлен. Но у меня конкретная задача автоматически назначать права пользователям. Делать это создавая для каждого Администратора учётки в нескольких тысячах БД конечно возможно, но мы это уже проходили. Дешевле назначать группу в домене, а БД при входе пользователей пусть сама разбирается какие права пользователю с этой группой предоставить. <br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#15 Tue, 17 Jan 2023 21:20:22 GMT &gt; не создавать пользователей в БД<br>&gt; является пользователем БД<br><br>Тут есть противоречие :-)<br><br>Ну а если серьёзно, то это возможно тогда, когда посгтрес в AD будет хранить не только реквизиты пользователя (имя, хэш пароля), но и информацию о всех своих объектах и отношениях между ними (базы, таблицы, пользователи...). Чисто теоретически LDAP, на основе которого сделана AD, это умеет, расширением схемы. А вот постгрес этого не умеет и скорее всего - не нужно такого уметь. Зато он умеет сопоставлять своего пользователя и пользователя AD. Что гораздо универсальнее.<br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#14 Wed, 04 Jan 2023 15:18:33 GMT &gt; подобрать более строгий шифр для прозрачной аутентификации в веб-почте зимбры.<br><br>ldd на бинарники зимбры. есть ли что-то про krb5 ?<br>если нет то автор собрал статиком с черт знает какой версией собачки,<br>за что ему спасибо. теперь только версию обновлять и надеяться.<br>также возможны устаревшие веб-клиенты.<br><br>&gt; чтобы заработало, нужно пилить политики безопасности контроллеров домена?<br><br>не нужно. если DC на 2000 или 2003 - то ничего лучше<br>RC4 и 3DES вы от них не получите. клиенты на 2000 и XP - то же самое.<br><br>но все становится интереснее, если DC на 2008r2+ (соотв клиенты семерка+).<br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#13 Sun, 11 Dec 2022 19:50:08 GMT Есть какое-нибудь решение, которое позволяет не создавать пользователей в БД, а просто указать, что пользователь, входящий с такую-то группу безопасности в домене является пользователем БД с такими-то правами? <br> https://www.opennet.ru/openforum/vsluhforumID3/128406.html#12 Wed, 23 Nov 2022 06:54:58 GMT В своё время пытался подобрать более строгий шифр для прозрачной аутентификации в веб-почте зимбры. В итоге заработало только с RC4-HMAC, как и было в примере мануала.<br><br>Получается, чтобы заработало, нужно пилить политики безопасности контроллеров домена? Далеко не всегда они в полномочиях ДБА или администраторов других прикладных систем.<br>