[pgsql-jp: 27587] Re: pg_ctl と OS 起動時のpassword 要求について

[Yoshihiro Hanahara]

花原@明宏です。

> ;; となっていますが、このままですと、そこのマシン上で動くプログラム&PHPスク
> ;; リプトなどは、任意のユーザーでPostgreSQLにアクセスできてしまいます。
> ;; 
> ;; あまり宜しくないので、これを
> ;; 
> ;;     local      all                                           crypt
> ;;     host       all         127.0.0.1     255.255.255.255     crypt
> FreeBSDなら
> local      all                                          ident   sameuser
> 
> がお薦めです。Internetドメインのident(ループバックを除く)は、なんちゃって
> 認証ですが、(PostgreSQLでいうところの)UNIXドメインのidentは信頼できます。
> # recvmsg(2)に記述されている、Process credentialを渡す機構を使う。

これいいですね!。

ident認証は今までやったことがないので、もう少し教えてください
(HIROSHI OOTA さんに直接聞いているというわけではありませんので
どなたでもお願いします :-)。


1つのマシンにApacheとPostgreSQLが同居してます。
Apacheでは、PHPを動かしていますが、スクリプトを書く人は複数で、DBやコン
テンツも複数あるとします。お互いになるべくセパレートしたいと思っています。

Q1.
---
FreeBSDの場合、Portsでインストールすると、Apacheはwww:wwwで動作しますが、
pg_hba.confを

    local      all                                           ident   sameuse
    host       all         127.0.0.1     255.255.255.255     crypt

と設定し、wwwというPostgreSQLユーザーを作らない用にすれば、PHPスクリプト
からDBにアクセスするのは、localhost指定で、ユーザー名・パスワードを指定
しないとアクセスできないということでしょうか
(UNIXドメイン経由だと、PHPスクリプトはWebサーバーのuidでPostgreSQLに接続
することが強制されるのですよね)。


Q2.
---
これは、UNIXドメインだけでidentを使うのならば、特にauth(ident)サービスを
/etc/inetd.conf等で上げなくても良いという理解でよろしいでしょうか?



以上、宜しくお願いします。

---
Yoshihiro Hanahara <hanahara ＠ meiko.co.jp>