ďťż
 
[PostgreSQL] pg_hba.conf, sameuser i uprawnienia. ďťż
 
[PostgreSQL] pg_hba.conf, sameuser i uprawnienia.
Zobacz wiadomości
 
Cytat
A gdyby tak się wedrzeć na umysłów górę, / Gdyby stanąć na ludzkich myśli piramidzie, / I przebić czołem przesądów chmurę, / I być najwyższą myślą wcieloną. . . Juliusz Słowacki, Kordian
Indeks BCB i MySQL subiekt gt fototapeta
 
  Witamy

[PostgreSQL] pg_hba.conf, sameuser i uprawnienia.


Jacek =?ISO-8859-2?Q?D=EAbowczyk?= - 15-07-2006 01:26
[PostgreSQL] pg_hba.conf, sameuser i uprawnienia.
 
Próbuję w pliku pg_hba.conf ustawić dostęp do serwera postgres dla
użytkowników łączących się lokalnie (m.in. serwer apache - więc autoryzacja
według kont systemowych odpada), a także zdalnie z określonej podsieci
(niech to będzie 160.160.160.0/24). Przy zawartości:

# TYPE DATABASE USER CIDR-ADDRESS METHOD
local all all password
host all all 160.160.160.0/24 md5

okazuje się, że wszyscy użytkownicy mogą swobodnie przeglądaćstrukturę
wszystkich baz, schematów, tabel i innych obiektów. Wygląda to tak,jakby
uprawnienia nadawane przez pg_hba.conf były na tym etapie nadrzędne nad
właściwymi uprawnieniami bazy danych. Te drugie wkraczają do akcji dopiero
przy próbie odczytu/zapisu danych.

Użycie *sameuser* w polu DATABASE prowizorycznie rozwiązuje problem. Zgodnie
z dokumentacją oznacza dopuszczenie użytkownika do bazy danych, która
_nazywa się_ tak jak on. Czy istnieje możliwość takiego skonfigurowania, aby
użytkownik był dopuszczany do baz, do których faktycznie _posiada uprawnienia_?

Z góry dziękuje za podpowiedzi.

--
Pozdrawiam, Jacek.

I will not buy this record - it is scratched.




Piotr 'piter' Hlawski - 16-07-2006 01:04

  Jacek Dębowczyk wrote:

[...]
> Czy istnieje możliwość takiego skonfigurowania, aby
> użytkownik był dopuszczany do baz, do których faktycznie _posiada
> uprawnienia_?

Nie możesz każdego z użytkowników wymienić z osobna?:

local nazwa_bazy user1 md5
local nazwa_bazy2 user2 md5

host nazwa_bazy3 user3 IP/MASKA md5

--
..:: Piter // phlawski$gmail,com // gg: 4534287 ::.
Serial "Ostry Dyżur" swoją fabułę zawdzięczał Chuckowi Norrisowi.



Jacek =?ISO-8859-2?Q?D=EAbowczyk?= - 16-07-2006 01:04

  Piotr 'piter' Hlawski <phlawski@cut_this_crap.gmail.com> napisał(a):
>
> Nie możesz każdego z użytkowników wymienić z osobna?:
>
> local nazwa_bazy user1 md5
> local nazwa_bazy2 user2 md5
>
> host nazwa_bazy3 user3 IP/MASKA md5

Tego zdecydowanie chciałbym uniknąć. Zakładam, że skoro na poziomie SZBD
istnieją uprawnienia do konkretnych _baz danych_ dla konkretnych
_użytkowników_, to właśnie one powinny być wykorzystane do kontroli dostępu.

--
Pozdrawiam, Jacek.

I will not buy this record - it is scratched.



Piotr 'piter' Hlawski - 16-07-2006 01:04

  Jacek Dębowczyk wrote:

> Piotr 'piter' Hlawski <phlawski@cut_this_crap.gmail.com> napisał(a):
>>
>> Nie możesz każdego z użytkowników wymienić z osobna?:
>>
>> local nazwa_bazy user1 md5
>> local nazwa_bazy2 user2 md5
>>
>> host nazwa_bazy3 user3 IP/MASKA md5
>
> Tego zdecydowanie chciałbym uniknąć. Zakładam, że skoro na poziomie SZBD
> istnieją uprawnienia do konkretnych _baz danych_ dla konkretnych
> _użytkowników_, to właśnie one powinny być wykorzystane do kontroli
> dostępu.
>

To są zdaje się tylko Twoje założenia :-), więc pozostaje ci tylko przyjąć
moją propozycję, bo AFAIK nie ma innego sposobu. Jeśli się mylę proszę mnie
poprawić.

--
..:: Piter // phlawski$gmail,com // gg: 4534287 ::.
Za zarostem Chucka Norrisa nie ma brody. Jest kolejna pięść.




herakles - 19-07-2006 00:44

  Piotr 'piter' Hlawski wrote:

> Jacek Dębowczyk wrote:
>
> [...]
>> Czy istnieje możliwość takiego skonfigurowania, aby
>> użytkownik był dopuszczany do baz, do których faktycznie _posiada
>> uprawnienia_?
>
> Nie możesz każdego z użytkowników wymienić z osobna?:
>
> local nazwa_bazy user1 md5
> local nazwa_bazy2 user2 md5
>
> host nazwa_bazy3 user3 IP/MASKA md5
odradzam stanowczo, karygodne pogwałcenie zasad bezpieczeństwa!
polecam za to:
hostssl nazwa_bazy3 user3 IP/MASKA md5

>
>



Piotr 'piter' Hlawski - 19-07-2006 00:44

  herakles wrote:

> Piotr 'piter' Hlawski wrote:
>
>> Jacek Dębowczyk wrote:
>>
>> [...]
>>> Czy istnieje możliwość takiego skonfigurowania, aby
>>> użytkownik był dopuszczany do baz, do których faktycznie _posiada
>>> uprawnienia_?
>>
>> Nie możesz każdego z użytkowników wymienić z osobna?:
>>
>> local nazwa_bazy user1 md5
>> local nazwa_bazy2 user2 md5
>>
>> host nazwa_bazy3 user3 IP/MASKA md5
> odradzam stanowczo, karygodne pogwałcenie zasad bezpieczeństwa!
> polecam za to:
> hostssl nazwa_bazy3 user3 IP/MASKA md5

Punkt widzenia zależy od punktu siedzenia. W intranecie ssl mi jest zbędny.
Należy tylko mieć świadomość tego co się robi.

--
..:: Piter // phlawski$gmail,com // gg: 4534287 ::.
Chuck Norris może wysyłać e-maile nawet do tych, którzy nie mają komputerów,
ani dostępu do Internetu.



hubert depesz lubaczewski - 19-07-2006 00:44

  On 2006-07-17, herakles <herakles@buziaczek.pl> wrote:
>> host nazwa_bazy3 user3 IP/MASKA md5
> odradzam stanowczo, karygodne pogwałcenie zasad bezpieczeństwa!

oczywiście. najlepiej rozstrzelać.
nie przesadzaj. używanie ssl'a do łączenia do postgresa uważam za
praktycznie nieistotne.
1. w lanie się nie boję, że mnie ktoś podsłucha - jak ma wjazd w mój
ethernet to mam większe powody do zmartwień niż łącze do postgresa.
2. wystawianie postgresa na internet ogólnie uważam za kiepski pomysł.
3. jak *muszę* mieć zdalny dostęp to stawiam vpn'a. bo zazwyczaj
potrzebuję dostęp *nie tylko* do postgresa.

jeszcze się nie zdarzyło bym chciał/potrzebował używać ssl'i.

depesz

--
http://www.depesz.com/index.php/2006/06/22/choroby/
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • effulla.pev.pl

    • comp
    		[PostgreSQL] - jak =?ISO-8859-2?Q?zabezpieczy=E6_interesy_tw?==?ISO-8859-2?Q?=F3rcy_systemu_=3F=3F=3F?= postgresql - int/int postgresql Select count(*) czy raczej Select count(ID) [PostgreSQL] jak =?ISO-8859-2?Q?pobra=E6_warto=B6=E6_zwracan?==?ISO-8859-2?Q?=B1_przez_funkcj=EA=3F?= [postgresql] INSERT OR UPDATE - jak =?ISO-8859-2?Q?b=EAdzie_na?==?ISO-8859-2?Q?jlepiej=3F?= [postgresql] kilka =?ISO-8859-2?Q?rekord=F3w_subquery_jako_?==?ISO-8859-2?Q?string?= [PostgreSQL] Jak =?ISO-8859-2?Q?po=B3=B1czy=E6_funkcje_z_w?==?ISO-8859-2?Q?idokiem?= Postgres - replikcja master-master Dopasowanie do "najlepszego" dopasowania :) [ PostgreSQL] Problemy z =?ISO-8859-2?Q?instalacj=B1_PostgreSQL_na_syste?==?ISO-8859-2?Q?mach_Windows?=
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • felgiuzywane.xlx.pl
    • Cytat

    Decede mihi sole - nie zasłaniaj mi słonca.
    Gdy kogoś kochasz, jesteś jak stworzyciel świata - na cokolwiek spojrzysz, nabiera to kształtu, wypełnia się barwą, światłem. Powietrze przytula się do ciebie, choćby był mróz, a ty masz w sobie tyle radości, że musisz ją rozdawać wokoło, bo się w tobie nie mieści
    Hoc fac - tak czyń.
    A tergo - od tyłu; z tyłu.
    I czarne włosy posiwieją. Safona

    Valid HTML 4.01 Transitional

    Free website template provided by freeweblooks.com