Re: Tips zur Authentifizierung

vortex25(at)gmx(dot)de schrob:

> ein Webinterface. Die Benutzer sollen aber
> auch direkt auf die Datenbank zugreifen können, um entweder
> lokal auf ihrem Rechner laufende Administrationssoftware
> zu benutzen, oder gar selbst Anwendungen zu entwickeln, die
> mit den Daten arbeiten. Natürlich immer unter Berücksichtigung
> ihrer Rechte.

Dann führt ja kein Weg an postgres' Rechtesystem vorbei.

> Nun, Postgres kann von Haus aus Gruppen und User verwalten.
> Dieses System habe ich mir vor einer Weile schon etwas
> betrachtet und es hat zumindest auf den ersten Blick einige
> Haken und Ösen. So werden z.B. erteilte Rechte beim Löschen
> eines Users nicht zurückgenommen und automatisch einem
> neuen User zugeteilt, der zufällig die gleiche BenutzerID
> bekommt. Oder habe ich da was falsch in Erinnerung?

Das ist korrekt und steht nun schon fast zwei Jahre lang in der
TODO-Liste :-/

Ein Workaround wäre z.B. die SYSIDs explizit beim CREATE USER
anzugeben, und aus einer "sequence" zu generieren.

> Bei Gruppenrechten scheint das anders zu sein.

Sicher? Die verwenden doch ebenfalls SYSIDs, oder?

> btw: Mir wurde auch schon geraten die ganze Zugriffslogik
> in einen eigenen Server zu packen und die Datenbank sozusagen
> nur noch als Storage-Engine zu verwenden. Aber dann könnte
> ich eigentlich auch gleich wieder mysql verwenden......

> Als wie sicher kann denn der postgres TCP Dienst betrachtet werden?

Unter Verwendung von SSL eigentlich ziemlich sicher. Andererseits
werden trotzdem die wenigsten Leute Postgres am Internet lauschen
lassen...

Gruß
Andreas