Инструкция по настройке LDAP-аутентификации в PostgreSQL

Краткое описание

В статье описывается настройка LDAP-аутентификации в PostgreSQL, где поставщиком учетных записей является MULTIDIRECTORY.

Для интеграции PostgreSQL с MULTIDIRECTORY, необходимо создать пользователя, который будет выступать администратором PostgreSQL и с помощью которого будет осуществляться чтение LDAP каталога, для авторизации пользователей в систему.

Требование к установке

• Установленная служба каталогов MULTIDIRECTORY
• Развернутая система PostgreSQL

Подготовка к настройке

• Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.
• Создайте группы доступа в MULTIDIRECTORY для пользователей ArgoCD.

Конфигурация PostgreSQL

Для настройки LDAP-авторизации перейдите в конфиругационный файл PostgreSQL и выполните следующие шаги: 

nano /etc/postgresql/<версия>/main/pg_hba.conf

Минимальная конфигурация сервера PostgreSQL.

# Database administrative login by Unix domain socket
local   all             postgres                                peer
# TYPE  DATABASE        USER            ADDRESS                 METHOD
# "local" is for Unix domain socket connections only
# Local socket connections - use peer for system users, md5 for password auth
local   all             all                                     md5
# IPv4 local connections: LDAP authentication
host    all             all             127.0.0.1/32            ldap ldapserver=192.168.1.2 ldapbasedn="cn=users,dc=md,dc=loc" ldapbinddn="cn=admin,cn=users,dc=md,dc=loc" ldapbindpasswd="Password" ldapsearchattribute=sAMAccountName
# IPv6 local connections: LDAP authentication  
host    all             all             ::1/128                 ldap ldapserver=192.168.1.2 ldapbasedn="cn=users,dc=md,dc=loc" ldapbinddn="cn=admin,cn=users,dc=md,dc=loc" ldapbindpasswd="Password" ldapsearchattribute=sAMAccountName
# Allow replication connections from localhost, by a user with the
# replication privilege.
local   replication     all                                     peer
host    replication     all             127.0.0.1/32            scram-sha-256 host    replication     all             ::1/128                 scram-sha-256
# External connections: LDAP authentication
host    all             all             0.0.0.0/0               ldap ldapserver=192.168.1.2 ldapbasedn="cn=users,dc=md,dc=loc" ldapbinddn="cn=admin,cn=users,dc=md,dc=loc" ldapbindpasswd="Password" ldapsearchattribute=sAMAccountName

описание полей

• ldapserver — адрес LDAP-сервера MULTIDIRECTORY.
• ldapbasedn — базовый DN откуда начинается поиск пользователей в каталоге.
• ldapbinddn — учетная запись с правами чтения каталога.
• ldapbindpasswd — пароль от учетной записи указанной выше.
• dapsearchattribute — атрибут по которому будет происходить поиск логина пользователя.

После изменения конфигурации, перезагрузите PostgreSQL.

sudo systemctl reload postgresql

Проверьте подключение, через учетную запись MULTIDIRECTORY.

psql -U test -d postgres -h localhost -W    # test - учетная запись в каталоге

описание полей

• -U — учетная запись MULTIDIRECTORY.
• -d — база данных для подключения.
• -h — ip-адресс подключения где находится postgresql.
• -W — пароль от учетной записи указанной выше.