Re: pg_hba.conf et ip dynamique

Benoît Barbier writes

> Oui il y a bien ssh sur le serveur, est-ce que c'est possible sans login sur
> le système de fichier?

Pas vraiment mais les droits de l'utilisateur sur le système de fichiers peuvent
être restreints via la sécu unix classique. Ca peut être complètement blindé en
utilisant chroot avec ssh. Il y un tutoriel à ce sujet dans debian:
http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html
mais il est clair que ce n'est pas évident à mettre en place.

Ensuite pour ce qui est de l'utilisation, en supposant que vous avez un login
toto sur le serveur qui peut se connecter à postgresql en tant qu'utilisateur
pgtoto sur une base pgbase, ça donne sur le poste client à IP variable:

pour ouvrir une session:
$ ssh le_serveur -L 5432:le_serveur:5432 -l toto

pour accéder à la base:
$ psql -h localhost -d pgbase -U pgtoto
(psql ou n'importe quelle autre appli cliente)

Le principe c'est que ssh va s'arranger pour faire transiter les échanges TCP/IP
entre psql et postgresql via son canal sécurisé et précédemment authentifié.
Du point de vue du serveur postgresql, la connexion ne vient pas du client
distant mais de localhost, c'est comme si toto lançait un psql en local sur le
serveur.

D'autres explications sont trouvables dans la doc postgresql:
http://www.postgresql.org/docs/7.4/interactive/ssh-tunnels.html
C'est un peu compliqué à expliquer mais en réalité le principe lui-même n'est
guère plus compliqué que, disons, celui de la rallonge électrique :)

--
Daniel
PostgreSQL-powered mail user agent and storage: http://www.manitou-mail.org