Народ, кто прикручивал лдап к постгресу? Какое решение выбрали, насколько

сильно теперь страдаете?

Я так понял, можно использовать встроенную ldap авторизацию в постгрес, но сразу вылезает геморрой
а) с синхронизацией ролей. для этого, вроде есть pg-ldap-sync.
б) с тем, что в pg_hba придется до ldap'а прописывать всех локальных пользователей пг. можно их записать в файл и ссылаться на этот файл... наверное можно кроном даже выгружать раз в пару минут из пг локальных пользаков в этот файл. но че-то это уже перестает выглядеть нарядно)

нашел еще ldap2pg, но не понял, в чем его бонус.

есть у кого идеи или отцовские советы?

😀 первый раз слышу эту штуку. ща почитаю, выглядит прикольно

какую штуку?

лдап. получается мона сделать шару на постгресе с сылками через лдап?

про шару не знаю, я хотел пользаков из группы в ад подтягивать. вообще, конечно, mssql можественнен в этом плане. создал рол , как логин и насилуешь себе голову

А чё там с наследованием не канает шоле? Не могу понять, зачем каждого пользака в лдап то прописывать

аа ты про это...

нужно, чтобы пользак ходил под своим логином и парллем из ад. и чтобы для выдачи прав дрстаточно было бы его в определенную роль в ад запихать

в постгрес заходил?

да

Делаешь роль девелопер. Даёшь ей права. Говоришь через оркестр всем сервакам "сделай роль Петя и отнаследуй права от девелопера".

Девался. Пг хба не придется редачить, на сколько я знаю. Свой плейбук ближе к телу.

это как-это?

Ты отнаследуешься от роли. Зачем тебе заполнять пгхба для остальных?

О, а у меня похожая задача, поднять доменную аутентификацию на pg. Скажи, почему ldap, а не gssapi? Ssl одновременно ещё настраивал, чтобы трафик не перехватывали? Домен запросами на аутентификацию не заваливает? Можно ли настроить так, чтобы пользователи заходили в базу под уз группы, аналогично ms sql?

короче ssapi я смотрел изначально, но там гемор с пользователями линукса. надо отдельной командой будет тикет заказывать кербкросовский для авторизации. а на винде, конечно удобно. ссл настраивал, без него пароль в открытом виде передается. но это важнее для самого постгреса. да и то там один параметр в pg_hba. остальное - головняк админов ад. синхронизатор тоже умеет в ссл, но оно по сути нах не нужно. там ничего такого не передается. но тырчик добавил. да, через группы в ад можно грантовать пользователям доступ. глянь там описние, я все расписал.

скрипт посмотрел. Там получается он из AD из групп создает роли в постгресе как для самих групп, так и для мемберов групп. Не получится т.е. просто, как в MS SQL, завести группу и через нее аутентифицировать пользователей?

т.е. когда ты в сиквеле создаешь группу пользак все равно как бы под своим логином/паролем входит (ну тикетом своим представляется). а ему через группу права накидываются. и тут получается то же самое

не совсем, тут явное прописывание юзеров в ПГ нужно. Т.е. получается нужно еще работу синхронизатора мониторить,