Início / dba / Perguntas / 306305
Accepted
GammaGames
Asked: 2022-01-20 15:50:49 +0800 CST

Armazene credenciais de ligação LDAP em variáveis ​​de ambiente para pg_hba.conf

  • 772

Estou trabalhando na configuração da autenticação LDAP para um banco de dados PostgreSQL e adicionei o seguinte no meu pg_hba.confarquivo:

# TYPE  DATABASE    USER    ADDRESS     METHOD
host    all         all     all         ldap ldapurl="ldap://example.local/dc=example,dc=local?sAMAccountName" ldapbinddn="username" ldapbindpasswd="password"

Funciona! Mas agora eu gostaria de armazenar o nome de usuário e a senha como variáveis ​​de ambiente, como faço para a maioria das minhas configurações. Tentei adicionar o nome de usuário e a senha como $LDAPUSERNAME ou "$LDAPUSERNAME", mas eles não estão inserindo nenhum valor. Isso é possível?

Observação: o banco de dados será executado em um contêiner docker. Se eu tiver que executar algum script para processar o pg_hba.confarquivo antes de iniciar o banco de dados, eu posso.

postgresql authentication

2 respostas

  1. Você não pode especificar essas configurações por meio de variáveis ​​de ambiente no PostgreSQL. Lembre-se que ldapbindpasswdé específico para uma determinada pg_hba.conflinha, e linhas diferentes podem ter configurações diferentes.

    • 1
  2. Best Answer

    Como meu objetivo final é manter as senhas fora do controle de versão e o banco de dados está sendo executado em um contêiner docker, fiz a imagem processar o pg_hba.confarquivo na inicialização.

    1. Crie um .envarquivo para o serviço com o conteúdo:
    LDAPCONFIG=ldapurl="ldap://example.local/dc=example,dc=local?sAMAccountName" ldapbinddn="username" ldapbindpasswd="password"

    Adicione este arquivo ao seu .gitignorepara que não seja confirmado.

    1. Edite o pg_hba.confarquivo com a variável de ambiente:
    # TYPE  DATABASE    USER    ADDRESS     METHOD
host    all         all     all         ldap $LDAPCONFIG
    1. Adicione o seguinte script (salvei em scripts/ldap.sh) e atualize o dockerfile para copiar o script no diretório de inicialização:
    #!/usr/bin/env bash

echo "Setting up pg_hba.conf file"
cat /var/tmp/pg_hba.conf | envsubst > /var/lib/postgresql/data/pg_hba.conf

    FROM postgres:14

RUN apt-get -y upgrade \
    && apt-get install -y gettext  # Dependency for envsubst command

COPY ./scripts/ldap.sh:/docker-entrypoint-initdb.d/10ldap.sh
COPY ./config/pg_hba.conf /var/tmp/pg_hba.conf

    Nota: Este script só será executado se o diretório de dados estiver vazio, e você terá que executar o script se o container já tiver um banco de dados.

    Agora basta iniciar seu banco de dados e observar quaisquer erros no log!

    • 0

relate perguntas