20.10. Аутентификация LDAP #
Данный метод аутентификации работает сходным с методом password образом, за исключением того, что он использует LDAP как метод подтверждения пароля. LDAP используется только для подтверждения пары «имя пользователя/пароль». Поэтому пользователь должен уже существовать в базе данных до того, как для аутентификации будет использован LDAP.
Аутентификация LDAP может работать в двух режимах. Первый режим называется простое связывание. В ходе аутентификации сервер связывается с характерным именем, составленным следующим образом: prefix username suffix. Обычно, параметр prefix используется для указания cn= или DOMAIN\ в среде Active Directory. suffix используется для указания оставшейся части DN или в среде, отличной от Active Directory.
Во втором режиме, который мы называем поиск+связывание, сервер сначала связывается с каталогом LDAP с предопределённым именем пользователя и паролем, указанным в ldapbinddn и ldapbindpasswd, и выполняет поиск пользователя, пытающегося подключиться к базе данных. Если имя пользователя и пароль не определены, сервер пытается связаться с каталогом анонимно. Поиск выполняется в поддереве ldapbasedn, при этом проверятся точное соответствие имени пользователя атрибуту ldapsearchattribute. Как только при поиске находится пользователь, сервер заново связывается с каталогом уже как этот пользователь, с паролем, переданным клиентом, чтобы удостовериться, что учётная запись корректна. Этот же режим используется в схемах LDAP-аутентификации в другом программном обеспечении, например, в pam_ldap и mod_authnz_ldap в Apache. Данный вариант даёт больше гибкости в выборе расположения объектов пользователей, но при этом серверу LDAP отправляются два дополнительных запроса.
В обоих режимах используются следующие параметры конфигурации:
ldapserverИмена и IP-адреса LDAP-серверов для связи. Можно указать несколько серверов, разделяя их пробелами.
ldapportНомер порта для связи с LDAP-сервером. Если порт не указан, используется установленный по умолчанию порт библиотеки LDAP.
ldapschemeЗначение
ldapsвыбирает протокол LDAPS. Это нестандартный способ использования LDAP поверх SSL, поддерживаемый некоторыми серверами LDAP. Альтернативную возможность предоставляет параметрldaptls.ldaptlsЗначение 1 включает TLS-шифрование для защиты соединения Postgres Pro с LDAP-сервером. При этом используется операция
StartTLS, описанная в RFC 4513. Альтернативную возможность предоставляет параметрldapscheme.
Заметьте, что при использовании ldapscheme или ldaptls шифруется только трафик между сервером Postgres Pro и сервером LDAP. Соединение между сервером Postgres Pro и клиентом остаётся незашифрованным, если только и для него не включён SSL.
Следующие параметры используются только в режиме простого связывания:
ldapprefixЭта строка подставляется перед именем пользователя во время формирования DN для связывания при аутентификации в режиме простого связывания.
ldapsuffixЭта строка размещается после имени пользователя во время формирования DN для связывания, при аутентификации в режиме простого связывания.
Следующие параметры используются только в режиме поиск+связывание:
ldapbasednКорневая папка DN для начала поиска пользователя при аутентификации в режиме поиск+связывание.
ldapbinddnDN пользователя для связи с каталогом при выполнении поиска в ходе аутентификации в режиме поиск+связывание.
ldapbindpasswdПароль пользователя для связывания с каталогом при выполнении поиска в ходе аутентификации в режиме поиск+связывание.
ldapsearchattributeАтрибут для соотнесения с именем пользователя в ходе аутентификации поиск+связывание. Если атрибут не указан, будет использован атрибут
uid.ldapsearchfilterФильтр поиска, используемый для аутентификации в режиме поиск+связывание. Вхождения
$usernameв нём будут заменяться именем пользователя. Это позволяет задавать более гибкие фильтры поиска, чемldapsearchattribute.ldapurlАдрес LDAP по стандарту RFC 4516. Это альтернативный способ записи некоторых других параметров LDAP в более компактном и стандартном виде. Формат адреса таков:
ldap[s]://
сервер[:порт]/basedn[?[атрибут][?[scope][?[фильтр]]]]Здесь
scopeпринимает значениеbase,oneилиsub(обычно последнее). По умолчанию подразумеваетсяbase, что не очень полезно при таком применении. В качествеатрибутаможет указываться один атрибут; в этом случае он используется как значение параметраldapsearchattribute. Еслиатрибутне указан, в качестве значенияldapsearchfilterможет использоватьсяфильтр.Схема адреса
ldapsвыбирает для установления LDAP-подключений поверх SSL метод LDAPS, что равнозначно указаниюldapscheme=ldaps. Для применения шифрования LDAP с использованием операцииStartTLSиспользуйте обычную схему URLldapи укажите параметрldaptlsв дополнение кldapurl.Для неанонимного связывания
ldapbinddnиldapbindpasswdдолжны быть указаны как раздельные параметры.В настоящее время URL-адреса LDAP поддерживаются только с OpenLDAP и не поддерживаются в Windows.
Нельзя путать параметры конфигурации для режима простого связывания с параметрами для режима поиск+связывание, это ошибка.
В режиме поиск+связывание поиск может выполняться либо по одному атрибуту, указанному в ldapsearchattribute, либо по произвольному фильтру поиска, заданному в ldapsearchfilter. Указание ldapsearchattribute=foo равнозначно указанию ldapsearchfilter="(foo=$username)". Если не указан ни один параметр, по умолчанию подразумевается ldapsearchattribute=uid.
Если Postgres Pro был скомпилирован с OpenLDAP в качестве клиентской библиотеки LDAP, параметр ldapserver может быть опущен. В этом случае за списком имён серверов и портов сервер обращается в DNS, к SRV-записи (по стандарту RFC 2782) с именем _ldap._tcp.DOMAIN, где DOMAIN извлекается из ldapbasedn.
Это пример конфигурации LDAP для простого связывания:
host ... ldap ldapserver=ldap.example.net ldapprefix="cn=" ldapsuffix=", dc=example, dc=net"
Когда запрашивается подключение к серверу базы данных в качестве пользователя базы данных someuser, Postgres Pro пытается связаться с LDAP-сервером, используя DN cn=someuser, dc=example, dc=net и пароль, предоставленный клиентом. Если это подключение удалось, то доступ к базе данных будет открыт.
Пример конфигурации для режима поиск+связывание:
host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchattribute=uid
Когда запрашивается подключение к серверу базы данных в качестве пользователя базы данных someuser, Postgres Pro пытается связаться с сервером LDAP анонимно (поскольку ldapbinddn не был указан), выполняет поиск для (uid=someuser) под указанной базой DN. Если запись найдена, проводится попытка связывание с использованием найденной информации и паролем, предоставленным клиентом. Если вторая попытка связывания проходит успешно, предоставляется доступ к базе данных.
Пример той же конфигурации для режима поиск+связывание, но записанной в виде URL:
host ... ldap ldapurl="ldap://ldap.example.net/dc=example,dc=net?uid?sub"
Такой URL-формат используется и другим программным обеспечением, поддерживающим аутентификацию по протоколу LDAP, поэтому распространять такую конфигурацию будет легче.
Пример конфигурации поиск+связывание, в котором ldapsearchfilter используется вместо ldapsearchattribute для прохождения аутентификации по идентификатору или почтовому адресу пользователя:
host ... ldap ldapserver=ldap.example.net ldapbasedn="dc=example, dc=net" ldapsearchfilter="(|(uid=$username)(mail=$username))"
Пример конфигурации поиск+связывание, в котором используется поиск SRV-записи в DNS для получения имени сервера и порта службы LDAP в домене example.net:
host ... ldap ldapbasedn="dc=example,dc=net"
Подсказка
Поскольку LDAP часто применяет запятые и пробелы для разделения различных частей DN, необходимо использовать кавычки при определении значения параметров, как показано в наших примерах.
20.10.1. Рекомендации по настройке общих LDAP-серверов #
Чтобы настроить аутентификацию LDAP на сервере Postgres Pro, должны быть выполнены следующие требования:
Сервер Postgres Pro должен иметь доступ к LDAP-серверу.
Запись о методе аутентификации LDAP должна быть первой по списку в файле конфигурации
pg_hba.confна сервере Postgres Pro.Если аутентификация LDAP настроена с использованием параметра
ldapbinddn, то соответствующий DN должен уже существовать на LDAP-сервере.Если аутентификация LDAP настроена с использованием параметра
ldapsearchfilterдля фильтрации пользователей путём проверки их членства в группах, то соответствующая группа должна уже существовать на LDAP-сервере.
Хотя некоторые LDAP-серверы (например, FreeIPA) по умолчанию разрешают анонимное связывание (anonymous binding) в режиме search+bind, другие (например, ALD Pro) этого не делают. В целях безопасности не рекомендуется разрешать анонимное связывание на любом LDAP-сервере.
Примечание
Postgres Pro поддерживает аутентификацию пользователей с помощью ALD Pro 2.4.0 или выше.
Примеры конфигурационных записей, приведённые ниже, совместимы с серверами LDAP FreeIPA и ALD Pro.
Пример конфигурации LDAP с использованием простого связывания (simple-bind):
host ... ldap ldapserver=ldap.example.net \
ldapport=389 \
ldapbasedn="cn=users,cn=accounts,dc=example,dc=net"
Пример конфигурации LDAP с использованием метода search+bind:
host ... ldap ldapserver=ldap.example.net \
ldapport=389 \
ldapbasedn="cn=users,cn=accounts,dc=example,dc=net" \
ldapbinddn="uid=pgpro,cn=users,cn=accounts,dc=example,dc=net" \
ldapbindpasswd="<pgpro password>" \
ldapsearchattribute=uid
При запросе на подключение к базе данных от имени пользователя someuser Postgres Pro попытается связаться с LDAP-сервером от имени пользователя pgpro и выполнить поиск записи (uid=someuser) в указанном базовом DN. Если соответствующая запись найдена, сервер базы данных попытается связаться с LDAP, используя найденные данные и пароль, предоставленный клиентом. Если второе подключение будет успешным, доступ к базе данных будет предоставлен.
Пример конфигурации LDAP с использованием метода search+bind, где применяется параметр ldapsearchfilter для фильтрации пользователей, являющихся членами группы pgpro_access:
host ... ldap ldapserver=ldap.example.net \
ldapport=389 \
ldapbasedn="cn=users,cn=accounts,dc=example,dc=net" \
ldapbinddn="uid=pgpro,cn=users,cn=accounts,dc=example,dc=net" \
ldapbindpasswd="<pgpro password>" \
ldapsearchfilter="(&(objectClass=person)(uid=$username)(memberOf=cn=pgpro_access,cn=groups,cn=accounts,dc=example,dc=net))"
При запросе на подключение к базе данных от имени пользователя someuser Postgres Pro попытается связаться с LDAP-сервером от имени пользователя pgpro и выполнить поиск записи (uid=someuser) в указанном базовом DN в соответствии с заданным фильтром поиска. В этом примере пользователь должен быть членом группы pgpro_access согласно фильтру. Если соответствующая запись найдена, сервер базы данных попытается связаться с LDAP, используя найденные данные и пароль, предоставленный клиентом. Если второе подключение будет успешным, доступ к базе данных будет предоставлен.