lundi 20 juillet 2015

Créer des utilisateurs SSPI

Pour créer des utilisateurs pouvant se connecter en sécurité intégrée Windows, rien de plus simple, il vous suffit de créer des rôles de type login ayant le même nom que vos identifiant windows.

Exemple :
Login windows = PDC2008.corp\GLAGAFFE ou glagaffe@pdc2008.corp
Login postgresql = glagaffe

CREATE ROLE glagaffe LOGIN NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION;

Il faut ensuite adapter le fichier PG_HBA.CONF pour spécifier que l'usager GLAGAFFE se connecte avec la sécurité windows :
# TYPE  BaseDonnées   Utilisateur  Adresse    Méthode
host    all           glagaffe     0.0.0.0/0  sspi

! Attention, le fichier pg_hba.conf est sensible à la casse !
Dans notre situation, tout le monde se connecte en sspi, sauf les exceptions que nous avons placés dans un role 'groupe'. (Admin, développeurs, comptes techniques)
Dans ce cas spécifique, le pg_hba.conf est :

# TYPE  BaseDonnées   Utilisateur  Adresse    Méthode
host    all           +groupe_md5  0.0.0.0/0  md5
host    all           all          0.0.0.0/0  sspi

Si vous voulez éviter de créer un compte PostgreSQL pour chaque utilisateur, vous pouvez modifier le fichier pg_ident.conf qui vous permet de faire une association entre un compte du domaine et un compte PostgreSQL. Cette technique est très puissante ... mais requière un redémarrage de la machine à chaque modification du fichier pg_ident.conf.

Aucun commentaire:

Publier un commentaire

Ce commentaire sera validé par notre modérateur.