Control de acceso a base de datos a través de LDAP

La mejor solución para mantener una gestión centralizada de contraseñas de usuario es utilizar un servidor LDAP (como OpenLDAP) e indicarle al servidor (o a los servidores) cómo tiene que realizar la identificación de usuarios. (Aún así, todavía habrá que crear las cuentas de usuario y conceder los privilegios en la base de datos.) Lo único que tenemos que hacer es retocar el fichero pg_hba.conf añadiéndole una línea parecida a ésta:

host all all 127.0.0.1/32 ldap\
   ldap://servidor ldap/base dn;prefijo;sufijo"

El base dn es la base sobre la que se hace la búsqueda. El prefijo es lo que se añadirá a la izquierda del nombre de usuario para crear el nombre cualificado con el que se hará el login. Normalmente será cn=. Y el sufijo es lo que se añade por la derecha, incluyendo una coma de separación si fuera necesario. Así, si nuestro sevidor es ldap.ejemplo.com y los usuarios autorizados a desarrollar en la base de datos testing se ubican en ou=Developers,dc=ejemplo,dc=com, la línea necesaria será

host testing all 192.168.1.0/24 ldap \
    ldap://ldap.ejemplo.com/ou=Developers,dc=ejemplo,dc=com;cn=;\
    ,ou=Developers,dc=ejemplo,dc=com"

Para cada usuario autorizado habrá que lanzar el comando CREATE USER y los GRANT que correspondan.

About these ads
Esta entrada fue publicada en Uncategorized y etiquetada , , , , . Guarda el enlace permanente.

Una respuesta a Control de acceso a base de datos a través de LDAP

  1. Pingback: Control de acceso a base de datos a través de LDAP - DbRunas

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s