Re: Fwd: Postgres und GIS Umstellung von MD5 auf SCRAM SHA 256

Re: Nikolas Hanry
> Ich bin mir nicht sicher wenn in config pg_hba_conf MD5 nur MD5 auf der
> produktiven Umgebung steht, dass es deswegen dann wieder auf MD5 umgestellt
> wird? (sieh Screenshot rechte Seite ist unsere Testumgebung dort war die
> Umstellung erfolgreich und links ist produktiv und hat nicht geklappt)

PostgreSQL schreibt seine Config-Files nicht um. Wenn sich das "von
selbst" geändert hat, war das ein Config-Management oder sonst was.

> Wir haben danach kurz geprüft und show pw encryption zeigte tatsächlich
> SCRUm SHA. Dann wurde versucht eine GIS Datei zu öffnen und kam die
> Meldung: Keine Verbindung
>
> Danach wurde das pw händisch in pg4admin gesetzt und es funktionierte
> wieder, allerdings war schon wieder der User mit MD5 authz.

Es gibt hier zwei Dinge zu beachten:

In der pg_hba.conf erlaubt "md5" sowohl Login mit md5, als auch mit
scram. Wenn man "scram-sha-256" einstellt, ist nur noch scram möglich,
kein md5 mehr.

Entscheidend ist aber, in welchem Format das Password in pg_authid
gespeichert ist. Nur mit diesem Format/Protokoll kann dann auch eine
Verbindung aufgebaut werden. Das wird nicht durch die pg_hba.conf
festgelegt, sondern durch die Einstellung des Parameters
password_encryption zum Zeitpunkt, wo das Passwort gesetzt wurde.

Kann man mit "select * from pg_authid" prüfen, wenn das Password mit
md5 anfängt, ist es md5, wenn es mit $ anfängt, ist es scram.

Wenn man von md5 auf scram migrieren möchte, muss man
password_encryption umstellen und dann alle User-Passwörter neu
setzen.

Christoph