[pgpool-general-jp: 1018] Re: pgpool-IIのクライアント認証で、応答が返ってこない
山下大介
yamashita @ cyberstar.co.jp
2011年 11月 28日 (月) 13:50:16 JST
石井様
毎々、お世話になっております。
山下です。
下記の件ですが、ご教授ありがとうございます。
頂いた内容で、いろいろ試したのですが、pgpoolのmd5認証について理解ができていないので、
ご教授頂きたいのですが、
> pgpool->PostgreSQLがmd5認証になっていなければなりません。
これは、PostgreSQL側にpgpoolが接続する際の認証をどう解除する形になるのでしょうか?
pcp.conf内のpgpoolユーザーを作成し、パスワードをPostgreSQL側にALTER等設定し、pg_hba.confでmd5の設定をしたりと試すのですが、
接続に関しては、蹴られる状況です。
(認証する場合は、systemdbは必須等条件があるのでしょうか?現在設定はしておりません)
2011-11-26T18:34:37+09:00 localhost pgpool[31671]: s_do_auth: auth kind: 3
2011-11-26T18:34:37+09:00 localhost pgpool[31705]: I am 31705
2011-11-26T18:34:37+09:00 localhost pgpool[31705]:
pool_initialize_private_backend_status:
initialize backend status
2011-11-26T18:34:37+09:00 localhost pgpool[31700]:
pool_initialize_private_backend_status:
initialize backend status
2011-11-26T18:34:37+09:00 localhost pgpool[31705]: pool_ssl: SSL
requested but SSL support is not available
2011-11-26T18:34:37+09:00 localhost pgpool[31671]: s_do_auth: expecting R got E
2011-11-26T18:34:37+09:00 localhost pgpool[31671]:
make_persistent_db_connection: s_do_auth failed
2011-11-26T18:34:37+09:00 localhost pgpool[31671]: find_primary_node:
make_persistent_connection failed
と、認証を通すことが出来ない状態です。
マニュアル等を読んでいるのですが、理解できておらず、お手数ですが、ご教授頂けますと幸いです。
以上、宜しくお願い致します。
2011年11月19日19:07 Tatsuo Ishii <ishii @ sraoss.co.jp>:
>> 毎々、お世話になっております。
>> 山下です。
>>
>> 以下の構成で、クライアント認証を実施した場合、応答が返ってこないのですが、何か設定不備がありますでしょうか?
>> (192.168.bbb.1/24からの接続時にのみmd5認証を通したいです。)
>
> それはちょっと難しいです。まず、md5認証を行うためには、
> pgpool->PostgreSQLがmd5認証になっていなければなりません。
>
>> また、そもそもですが、PostgreSQLから見ると、pgoolからクエリが投げられているという認識で合っていますでしょうか?
>> (pool接続しているクライアントのIPがDB側に伝播されないという理解です。)
>
> はい、その認識で合っています。IPがDB側に伝搬されないため、クライアント
> IPによってmd5認証を行うかどうかの切り分けはできません。ユーザ名やデータ
> ベース名は伝搬されるため、ユーザ名やデータベース名によってmd5認証を行う
> /行わないをpg_hba.confに設定してあれば、クライアントのユーザ名やDB名でmd5認証を行う
> /行わないを切り分けることはできます。
>
> それはそれとして、以下の現象(無限ループ?)はおかしいので、調べておきます。
> --
> Tatsuo Ishii
> SRA OSS, Inc. Japan
> English: http://www.sraoss.co.jp/index_en.php
> Japanese: http://www.sraoss.co.jp
>
>> ■環境
>> ・PostgreSQL 9.0.5
>> ・pgpool-II 3.1.0
>>
>> ■構成
>> pgpool-II -------- --------- PostgreSQL(host all all 192.168.0.0/16
>> trust) ※テスト用に全てOKとしています
>>
>> (pool_hba.conf)
>> host all all 192.168.aaa.1/24 trust
>> host all all 192.168.bbb.1/24 md5
>>
>> ■関連設定
>> ※pool_passwd等は設置済み
>>
>> pgpool.conf
>>
>> ==================================================================
>>
>> # - Authentication -
>>
>> enable_pool_hba = on
>> # Use pool_hba.conf for client authentication
>> authentication_timeout = 60
>> # Delay in seconds to complete
>> client authentication
>> # 0 means no timeout.
>>
>> # - SSL Connections -
>>
>> ssl = off
>>
>> ==================================================================
>>
>> pool_passwdにユーザーを作成し、そのユーザーとパスワードで接続したところ、以下のような状況になります。
>> (debug level 1で出力しています)
>>
>> 2011-11-17T14:42:24+09:00 localhost pgpool[29776]: connection
>> received: host=192.168.3.232 port=49024
>> 2011-11-17T14:42:24+09:00 localhost pgpool[29776]:
>> read_startup_packet: application_name: psql
>> 2011-11-17T14:42:24+09:00 localhost pgpool[29776]: Protocol Major: 3
>> Minor: 0 database: isite user: postgres
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: pool_ssl: SSL
>> requested but SSL support is not available
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth: auth kind: 0
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth: backend
>> key data received
>> 2011-11-17T14:42:30+09:00 localhost pgpool[29778]: s_do_auth:
>> transaction state: I
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: pool_ssl: SSL
>> requested but SSL support is not available
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth: auth kind: 0
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> parameter status data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth: backend
>> key data received
>> 2011-11-17T14:42:40+09:00 localhost pgpool[29778]: s_do_auth:
>> transaction state: I
>> 2011-11-17T14:42:50+09:00 localhost pgpool[29778]: pool_ssl: SSL
>> requested but SSL support is not available
>>
>> 以降これが、繰り返されます。
>>
>> その他、必要な情報等ございましたら、ご教授下さい。
>>
>> 以上、宜しくお願い致します。
>> _______________________________________________
>> pgpool-general-jp mailing list
>> pgpool-general-jp @ sraoss.jp
>> http://www.sraoss.jp/mailman/listinfo/pgpool-general-jp
pgpool-general-jp メーリングリストの案内