Ahoj,
upgradem na postgresql 15 se nam tak trochu rozpadla vazba pgbouncer/postgresql. Pgbouncer mame primo na postgresql stroji, ale i tak jsem mel nastavene prihlasovani heslem do postgresql. To v kombinaci md5/scram-sha-256 prestalo fungovat v kombinaci s auth_query. Tak jsem trochu zagoogloval a vyznelo z toho testovanim toto:
1] aby fungoval scram, je nutne, aby heslo v postgresql bylo scram jak pro uzivatele pgbouncer, tak pro samotneho zivatele
2] udajne funguje nastaveni scram retezce v userlist.txt pro pgbouncer
- mne ale funguje jen varianta s nesifrovanym heslem
- jinak chyba "cannot do SCRAM authentication: password is SCRAM secret but client authentication did not provide SCRAM keys"
- je jedno, zda zadam scram retezec do login query psql nebo vyvolam zadani hesla napr. -W
3] nastavenim password_encryption = md5 v postgresql.conf funguje md5/scram kombinace
a] ma nekdo v provozu bod 2] s sifrovanym heslem?
b] v debianu je pgbouncer nainstalovany pod postgres uzivatelem, nelze vyuzit "peer" overeni v ramci localhostu. Je "trust" metoda v ramci localhostu povazovana za dostatecne bezpecna/blbuvzdorna? Samozrejme za predpokladu, ze prihlasit se na samotny server (ssh) muzou pouze administratori. Zde jeste povazuji za nestastne, ze dana "trust" by se musela v pg_hba.conf vlozit pred defaultni "host all all 127.0.0.1/32 scram-sha-256" (pres ansible nechavam default pg_hba a na konec pripojuji modifikace, bohuzel nestastne resene pg_hba od postgresql jede podle poradi)
Diky za nazory.
0 Odpovědí
1477 Zhlédnutí