Hi!

Kann mir einer sagen _wo_ (im welchen Verzeichnis) Postgresql nach den
SSL-Zertifikaten sucht?

Gruß

Olaf

---------------------------(end of broadcast)---------------------------
TIP 7: You can help support the PostgreSQL project by donating at

http://www.postgresql.org/about/donate

am Thu, dem 06.09.2007, um 23:54:55 +0200 mailte Olaf Radicke folgendes:
> Hi!
>
> Kann mir einer sagen _wo_ (im welchen Verzeichnis) Postgresql nach den
> SSL-Zertifikaten sucht?

,----[ http://www.postgresql.org/docs/current/static/ssl-tcp.html ]
| When starting in SSL mode, the server will look for the files server.key
| and server.crt in the data directory
`----


Andreas
--
Andreas Kretschmer
Kontakt: Heynitz: 035242/47150, D1: 0160/7141639 (mehr: -> Header)
GnuPG-ID: 0x3FFF606C, privat 0x7F4584DA http://wwwkeys.de.pgp.net

---------------------------(end of broadcast)---------------------------
TIP 3: Have you checked our extensive FAQ?

http://www.postgresql.org/docs/faq

moinsen,


A. Kretschmer schrieb:
> am Thu, dem 06.09.2007, um 23:54:55 +0200 mailte Olaf Radicke folgendes:
>
>> Hi!
>>
>> Kann mir einer sagen _wo_ (im welchen Verzeichnis) Postgresql nach den
>> SSL-Zertifikaten sucht?
>>
>
> ,----[ http://www.postgresql.org/docs/current/static/ssl-tcp.html ]
> | When starting in SSL mode, the server will look for the files server.key
> | and server.crt in the data directory
> `----
>
>
also ich hab das noch nicht benutzt, aber "the data directory"
sollte das verzeichnis sein, das in "$PGDATA" steht, bzw. das
verzeichnis, das dem server mit "-d" uebergeben wird.

gruss
ralf


---------------------------(end of broadcast)---------------------------
TIP 6: explain analyze is your friend

Am Freitag, 7. September 2007 schrieb Ralf Burger:
> moinsen,
>
> A. Kretschmer schrieb:
> > am Thu, dem 06.09.2007, um 23:54:55 +0200 mailte Olaf Radicke folgende=
s:
> >> Hi!
> >>
> >> Kann mir einer sagen _wo_ (im welchen Verzeichnis) Postgresql nach den
> >> SSL-Zertifikaten sucht?
> >
> > ,----[ http://www.postgresql.org/docs/current/static/ssl-tcp.html ]
> >
> > | When starting in SSL mode, the server will look for the files
> > | server.key and server.crt in the data directory
> >
> > `----
>
> also ich hab das noch nicht benutzt, aber "the data directory"
> sollte das verzeichnis sein, das in "$PGDATA" steht, bzw. das
> verzeichnis, das dem server mit "-d" uebergeben wird.

....Hmm, dann hab ich das wohl schon richtig gemacht. Dann muss es wohl an w=
as
anderes liegen.

Ich hab mich an
http://www.postgresql.org/files/documentation/books/pghandbu ch/html/ssl-tcp=
..html

Orientiert. Im Log steht lapidar:

FATAL: kein pg_hba.conf-Eintrag für Host =BB127.0.0.1=AB, Benutzer =BBga=
me=AB,
Datenbank =BBgame=AB, SSL aus

Stimmt aber nicht....

hostssl game game 0.0.0.0 0.0.0.0 md5

Na ich vermute mal das Zertifikat ist unbrauchbar. Bei der Erstellung muss =
man
ja seinen gesamten Lebenslauf eingeben. Vielleicht klappt das nicht, weil d=
ie
Kiste hier kein Rechnernamen hat sondern nur eine IP?

Gruß

Olaf


---------------------------(end of broadcast)---------------------------
TIP 2: Don't 'kill -9' the postmaster

am Fri, dem 07.09.2007, um 9:15:54 +0200 mailte Olaf Radicke folgendes:
> Am Freitag, 7. September 2007 schrieb Ralf Burger:
> > moinsen,
> >
> > A. Kretschmer schrieb:
> > > am Thu, dem 06.09.2007, um 23:54:55 +0200 mailte Olaf Radicke folg=
endes:
> > >> Hi!
> > >>
> > >> Kann mir einer sagen _wo_ (im welchen Verzeichnis) Postgresql nach=
den
> > >> SSL-Zertifikaten sucht?
> > >
> > > ,----[ http://www.postgresql.org/docs/current/static/ssl-tcp.html =
]
> > >
> > > | When starting in SSL mode, the server will look for the files
> > > | server.key and server.crt in the data directory
> > >
> > > `----
> >
> > also ich hab das noch nicht benutzt, aber "the data directory"
> > sollte das verzeichnis sein, das in "$PGDATA" steht, bzw. das
> > verzeichnis, das dem server mit "-d" uebergeben wird.
>
> ...Hmm, dann hab ich das wohl schon richtig gemacht. Dann muss es wohl =
an was
> anderes liegen.

Schuß ins Blaue: ssl =3D true in der postgresql.conf nicht gesetzt?


Andreas
--
Andreas Kretschmer
Kontakt: Heynitz: 035242/47150, D1: 0160/7141639 (mehr: -> Header)
GnuPG-ID: 0x3FFF606C, privat 0x7F4584DA http://wwwkeys.de.pgp.net

---------------------------(end of broadcast)---------------------------
TIP 4: Have you searched our list archives?

http://archives.postgresql.org

Am Freitag, 7. September 2007 schrieb A. Kretschmer:
> am Fri, dem 07.09.2007, um 9:15:54 +0200 mailte Olaf Radicke folgendes:
> > Am Freitag, 7. September 2007 schrieb Ralf Burger:
> > > moinsen,
> > >
> > > A. Kretschmer schrieb:
> > > > am Thu, dem 06.09.2007, um 23:54:55 +0200 mailte Olaf Radicke
folgendes:
> > > >> Hi!
> > > >>
> > > >> Kann mir einer sagen _wo_ (im welchen Verzeichnis) Postgresql nach
> > > >> den SSL-Zertifikaten sucht?
> > > >
> > > > ,----[ http://www.postgresql.org/docs/current/static/ssl-tcp.html =
]
> > > >
> > > > | When starting in SSL mode, the server will look for the files
> > > > | server.key and server.crt in the data directory
> > > >
> > > > `----
> > >
> > > also ich hab das noch nicht benutzt, aber "the data directory"
> > > sollte das verzeichnis sein, das in "$PGDATA" steht, bzw. das
> > > verzeichnis, das dem server mit "-d" uebergeben wird.
> >
> > ...Hmm, dann hab ich das wohl schon richtig gemacht. Dann muss es wohl =
an
> > was anderes liegen.
>
> Schuß ins Blaue: ssl =3D true in der postgresql.conf nicht gesetzt?

....Treffer. Schiff versenkt.

Man dankt!

Das Rechte System bei Postgresql finde ich nicht immer schlüssig.

Wenn ich kein ssl benutzen will, benutze ich es in der pg_hba.conf einfach=

nicht. Warum sollte ich auf die Ideekommen es in der postgresql.conf
_noch_mal_ abzuschalten? Ich finde die Doppelte Benutzerverwaltung schon
verwirrend. Das man mit seinem DB-Account (wenn man die Rechte hat) einen=

neuen DB-User anlegen kann, es aber einem garnichts nützt, solange dieser=

nicht in der pg_hba.conf frei geschaltet wird. Oder das ich keinen Einfluss=

als DB-Besitzer habe, auf welche wege sich die von mir angelegten Benutzer=

authentifizieren müssen. Und umgekehrt, das der "Master of pg_hba.conf" a=
llen
das Wasser abdrehen darf. Erinnert mich an das Rechte System von Typo3. Wen=
n
man sich mit den Workflow von Typo3 beschäftigt sollte man sich eine Woch=
e
frei nehmen, drei Rollen weiße Tapete und verschiedenfarbige Stifte kaufe=
n.
Mit der Linken das Handbuch in der Hand und in der Rechten der Stift, wird=

dann ein Diagramm erstellt... Da verstehe ich echt nicht, wenn sich da noch=

einer über SELinux beschwert. :-)




---------------------------(end of broadcast)---------------------------
TIP 9: In versions below 8.0, the planner will ignore your desire to
choose an index scan if your joining column's datatypes do not
match

am Fri, dem 07.09.2007, um 9:52:29 +0200 mailte Olaf Radicke folgendes:
> > > ...Hmm, dann hab ich das wohl schon richtig gemacht. Dann muss es w=
ohl an
> > > was anderes liegen.
> >
> > Schuß ins Blaue: ssl =3D true in der postgresql.conf nicht gesetzt?
>
> ...Treffer. Schiff versenkt.
>
> Man dankt!

Bidde.


>
> Das Rechte System bei Postgresql finde ich nicht immer schlüssig.
>
> Wenn ich kein ssl benutzen will, benutze ich es in der pg_hba.conf einf=
ach
> nicht. Warum sollte ich auf die Ideekommen es in der postgresql.conf
> _noch_mal_ abzuschalten? Ich finde die Doppelte Benutzerverwaltung scho=
n

Weil es Dinge erfordert (Zertifikat), die in der pg_hba.conf nicht
geregelt sind. Mmh. Ich muß zugeben, mit SSL keine Erfahrung zu haben.



> verwirrend. Das man mit seinem DB-Account (wenn man die Rechte hat) ein=
en
> neuen DB-User anlegen kann, es aber einem garnichts nützt, solange di=
eser
> nicht in der pg_hba.conf frei geschaltet wird. Oder das ich keinen Einf=
luss

Hä? Kommt drauf an, was Du da getan hast.


> als DB-Besitzer habe, auf welche wege sich die von mir angelegten Benut=
zer
> authentifizieren müssen. Und umgekehrt, das der "Master of pg_hba.con=
f" allen
> das Wasser abdrehen darf. Erinnert mich an das Rechte System von Typo3.=
Wenn

Naja, die pg_hba.conf ist halt der Dreh- und Angelpunkt. Irknwo muß
dieser ja sein, gell?

Egal, Problem ist ja gelöst. Wenn Du Ideen hast, wie das grundsätzlic=
h
gescheiter gemacht werden kann, dann wäre -hackers wohl die richtige
Adresse.


Andreas
--
Andreas Kretschmer
Kontakt: Heynitz: 035242/47150, D1: 0160/7141639 (mehr: -> Header)
GnuPG-ID: 0x3FFF606C, privat 0x7F4584DA http://wwwkeys.de.pgp.net

---------------------------(end of broadcast)---------------------------
TIP 3: Have you checked our extensive FAQ?

http://www.postgresql.org/docs/faq

Hallo,

Am 07.09.2007 um 09:52 schrieb Olaf Radicke:

> Das Rechte System bei Postgresql finde ich nicht immer schlüssig.
>
> Wenn ich kein ssl benutzen will, benutze ich es in der pg_hba.conf
> einfach
> nicht. Warum sollte ich auf die Ideekommen es in der postgresql.conf
> _noch_mal_ abzuschalten? Ich finde die Doppelte Benutzerverwaltung
> schon
> verwirrend. Das man mit seinem DB-Account (wenn man die Rechte hat)
> einen
> neuen DB-User anlegen kann, es aber einem garnichts nützt, solange =

> dieser
> nicht in der pg_hba.conf frei geschaltet wird. Oder das ich keinen
> Einfluss
> als DB-Besitzer habe, auf welche wege sich die von mir angelegten
> Benutzer
> authentifizieren müssen. Und umgekehrt, das der "Master of
> pg_hba.conf" allen
> das Wasser abdrehen darf.

Tja, der "Master of pg_hba.conf" ist nun mal der hostmaster
und hat den Hut auf. Was ist daran falsch? Es ist doch angenehm,
an einer Stelle zentral grundlegende Dinge einzustellen. Und
einfach, nein einfach ist es nicht wirklich, man braucht schon
ne Weile um damit klar zu kommen. Aber schlüssig ist es doch.

Der Scope ist einfach ein anderer, ob Du den Server als Ganzen
betrachtest oder auf einem laufenden System Deine Datenbank
einrichten darfst. In der pg_hba.conf kannst Du z.B. festlegen,
daß der User nur lokal aber nicht übers Netz kommen darf. Und
als sicherheitsorientiertes System sind alle defaults erst mal
er darf nicht. Das ist schon korrekt. So gesehen mag es am
Anfang erst mal doppelt gemoppelt sein, aber es ist doch ver-
ständlicher, wenn alles was nicht erlaubt ist verboten ist.

Und daß man nicht wieder die Zertifikate verschieben muß,
um ssl an- und auszuschalten ist doch auch eher ein Vorteil.
Wenn erst mal alles läuft ist es eigentlich sehr angenehm.

Gruß, Christian


---------------------------(end of broadcast)---------------------------
TIP 3: Have you checked our extensive FAQ?

http://www.postgresql.org/docs/faq

Olaf Radicke schrieb:
> Das Rechte System bei Postgresql finde ich nicht immer schlüssig.

Ich verstehe, daß Sie unglücklich sind, aber die meisten
dieser Dinge haben einen guten Grund. Wenn man die Architektur
versteht, werden sie klar. Wenn man die Architektur nicht
versteht, hat man immer Probleme bei der Administration.

> Wenn ich kein ssl benutzen will, benutze ich es in der
> pg_hba.conf einfach nicht. Warum sollte ich auf die Idee
> kommen es in der postgresql.conf _noch_mal_ abzuschalten?

In der postgresql.conf stellt man ein, ob PostgreSQL überhaupt
SSL verwenden soll oder nicht. Das hat noch nichts mit
Benutzerverwaltung zu tun.
Wenn SSL eingeschaltet ist, weigert sich der Server zu starten,
wenn er kein richtiges Zertifikat + Key findet. Das ist schon gut
so, daß es da nicht nur einen Schrei im Log gibt, den würde man
zu leicht ignorieren.
Andererseits, wenn jemand kein SSL will, soll der Server
trotzdem starten.
Wie macht man das ---> mit einem config-Parameter

In der pg_hba.conf findet die Autorisierung statt, also wer
was von wo aus wie darf. Vielleicht möchte ich generell nur
User über SSL hereinlassen, aber für eine Datenbank eine
Ausnahme machen? Wir haben das z.B. gebraucht.

> Ich finde die Doppelte Benutzerverwaltung schon
> verwirrend. Das man mit seinem DB-Account (wenn man die
> Rechte hat) einen neuen DB-User anlegen kann, es aber einem
> garnichts nützt, solange dieser nicht in der pg_hba.conf
> frei geschaltet wird.

Da muß ich zustimmen, das ist etwas mühsam.
Ich glaube, das hat historische Gründe.

In 8.2 kann man sich die Sache erleichtern:
Man schreibt einmal eine pg_hba.conf, die Generelles
festlegt (z.B.: dieser Cluster akzeptiert nur SSL-Verbindungen).
Durch das neue CONNECT-Recht auf Datenbanken kann man dann
mit einem GRANT festlegen, wer auf welche Datenbank
darf.

> Oder das ich keinen Einfluss als DB-Besitzer habe, auf
> welche wege sich die von mir angelegten Benutzer
> authentifizieren müssen. Und umgekehrt, das der "Master of
> pg_hba.conf" allen das Wasser abdrehen darf.

Wieder ein Architekturverständnisproblem.
Der "Master of pg_hba.conf" ist der Clusteradministrator.
User sind nicht Objekte auf Datenbankebene, sondern auf
Clusterebene.

"DB-Besitzer" und "Benutzeradministrator" sind also verschiedene
Aufgaben auf verscheidenen Ebenen in PostgreSQL.

Vielleicht klingt es so sinnvoller:

- Der "Clusteradministrator" legt fest, von wo und wie
überhaupt auf den Cluster zugegriffen werden kann. Er
bestimmt die Parameter in postgresql.conf. Er hat shell
access am Datenbank-Rechner.
Klar kann der allen das Wasser abdrehen, er kann auch
den Server stoppen.

- Der "Benutzeradministrator" hat das CREATEROLE-Privileg.
Er kann User anlegen und ändern.

- Der "Datenbankadministrator" besitzt die Datenbank.
Er kann Usern das CONNECT-Recht auf seine Datenbank geben.

Im Lichte dieser (eben von mir erfundenen) Nomenklatur
erscheint es natürlich seltsam, daß in der pg_hba.conf
einzelne auf einzelne Datenbanken berechtigt werden können.
Aber - wie oben erwähnt - darauf kann man in 8.2 verzichten.

Klar ist das alles nicht ganz einfach, aber das ist meist
der Preis, den man für Vielseitigkeit zahlt.
Es gibt einfachere Datenbanksysteme, die auch nicht schlecht
sind, wenn man "nur schnell einmal eine Datenbank" braucht.

Um mit einem alten Vorurteil ins Gericht zu gehen,
MySQL ist auch nicht einfacher.

Liebe Grüße,
Laurenz Albe

---------------------------(end of broadcast)---------------------------
TIP 1: if posting/reading through Usenet, please send an appropriate
subscribe-nomail command to majordomo [at] postgresql.org so that your
message can get through to the mailing list cleanly

Am Freitag, 7. September 2007 11:03:30 schrieb Albe Laurenz:
> Um mit einem alten Vorurteil ins Gericht zu gehen,
> MySQL ist auch nicht einfacher.

....Oh-doch! Im _meinen_ Fall ist MySQL _einfach_ unbrauchbar :-).

Gruß

Olaf

---------------------------(end of broadcast)---------------------------
TIP 3: Have you checked our extensive FAQ?

http://www.postgresql.org/docs/faq

Am Freitag, 7. September 2007 schrieb Olaf Radicke:
> Das Rechte System bei Postgresql finde ich nicht immer schlüssig.

Nachtrag:

Ich durfte diese Woche den Umgang mit einem MS QSL Server kennenlernen. Dan=
ke,
ich bin geheilt! Meine Vorbehalte bei PostgreSQL sind jetzt ausgeräumt.=


Schönes WE

Olaf


---------------------------(end of broadcast)---------------------------
TIP 1: if posting/reading through Usenet, please send an appropriate
subscribe-nomail command to majordomo [at] postgresql.org so that your
message can get through to the mailing list cleanly