[pgsql-jp: 30808] Re: アクセス認証の改造

[Tatsuo Ishii]

石井です．

> この機能追加については、クエリの実行などを考慮するとアプリケーションレベルで
> の認証は好ましくありません。

というか，インターネットに直接接続されたDBへのlibpqその他からアクセス
を許したいので，PostgreSQL自身が持つ認証機能を使うしかない，というのが
もともと1万人分のACLが必要になった理由なのでしょうね．まあ，想像ですが．

でも，それが本当の理由であるとして，私ならば，PostgreSQLのproxyサーバ
を作り，そこでアクセス制限を掛ける方法を取りますね．その方がセキュリティ
や管理を考えると好ましいと思います．

> あれから多少ソースを読んだのですが、現実的なのはグループ管理の拡張であり、こ
> こに絞りたいと思います。改造個所はほぼ３箇所に絞れます。

「グループ管理の拡張」というのが何を指すのかよくわかりませんが，単に1
万人分のACLリストを含むグループを作りたい，つまり

ALTER GROUP foo ADD USER foo1, foo2,... (以後，1万人のユーザリストが続く)

ということであれば，現状でも可能ですけど，そういうことではない？
--
Tatsuo Ishii