Re: Problema al conectar

Pues mi problema es el siguiente: cuando pongo en el pg_hda.conf que se va
a usar md5 al conectar desde mi script de php me dice que hay un error en la
password. La cuestión es que leí hace algún tiempo algo de que la función de
md5() de php no devuelve el mismo valor que el md5 de Postgres. ¿Cómo se
hace un pg_connect para que la variable sea encriptada con md5 de postgres?

Estoy buscando y no doy con esta forma de conectar en google ni encuentro el
correo de la lista donde se hablaba de esto. Vamos a ver si alguien me puede
ayudar un poquito.

Muchas Gracias.

La Pasion Del Rio escribió:
> Pues mi problema es el siguiente: cuando pongo en el pg_hda.conf que se va
> a usar md5 al conectar desde mi script de php me dice que hay un error en la
> password.

No estas mandando la password correcta. Que sea md5 o no, no es un tema
del cual tu tengas que preocuparte como programador. Manda la password
en claro y ya; el driver se encarga de cifrarla antes de enviarla.

--
Alvaro Herrera http://www.CommandPrompt.com/
PostgreSQL Replication, Consulting, Custom Development, 24x7 support

El día 8/05/06, Alvaro Herrera <alvherre(at)commandprompt(dot)com> escribió:
>
> La Pasion Del Rio escribió:
> > Pues mi problema es el siguiente: cuando pongo en el pg_hda.conf que se
> va
> > a usar md5 al conectar desde mi script de php me dice que hay un error
> en la
> > password.
>
> No estas mandando la password correcta. Que sea md5 o no, no es un tema
> del cual tu tengas que preocuparte como programador. Manda la password
> en claro y ya; el driver se encarga de cifrarla antes de enviarla.

Bueno pues eso me funciona pero me han surgido otras dudas ahora que no
esperaba. Planteamiento: en mi pg_hda.conf para darle permisos a unos
usuarios nuevos que acabo de crear he puesto lo siguiente:

local all all ident sameuser
host all all 192.168.1.0/60 255.255.255.255 md5

También he probado con :host all all 192.168.1.0/60 md5

Ni uno ni otra forma me funciona: La respuesta desde el servidor es:
" Warning: pg_connect(): Unable to connect to PostgreSQL server: FATAL: No
se encuentra pg_hba.conf o el archivo es incorrecto HINT: Vea el
registro del servidor para obtener más detalles."

El caso es que el archivo de log está en blanco y no puedo saber qué está
pasando. ¿Qué estoy poniendo mal en pg_hda.conf?

Muchas Gracias.

PD: ¿Cuando creo un usuario con CREATE USER desde pgsql en consola, debo ir
DB por DB dando permisos a ese usuario para que pueda hacer una consulta??

La Pasion Del Rio escribió:

> Bueno pues eso me funciona pero me han surgido otras dudas ahora que no
> esperaba. Planteamiento: en mi pg_hda.conf para darle permisos a unos
> usuarios nuevos que acabo de crear he puesto lo siguiente:
>
> local all all ident sameuser
> host all all 192.168.1.0/60 255.255.255.255 md5
>
> También he probado con :host all all 192.168.1.0/60 md5
>
> Ni uno ni otra forma me funciona: La respuesta desde el servidor es:
> " Warning: pg_connect(): Unable to connect to PostgreSQL server: FATAL: No
> se encuentra pg_hba.conf o el archivo es incorrecto HINT: Vea el
> registro del servidor para obtener más detalles."

El archivo probablemente sea incorrecto ... partamos por ejemplo por que
nos expliques de donde inventaste ese /60? Que crees tu que significa?

> El caso es que el archivo de log está en blanco y no puedo saber qué está
> pasando. ¿Qué estoy poniendo mal en pg_hda.conf?

Ni idea. Baja el servidor y ejecuta postmaster directamente en una
consola, para ver los mensajes de error; luego intenta conectar y
examina la consola para ver error arroja.

Tarea para el futuro: configurar el servidor para que no tire el log a
/dev/null. Probablemente sea culpa del script /etc/init.d/postgresql o
lo que sea que uses para levantarlo.

> PD: ¿Cuando creo un usuario con CREATE USER desde pgsql en consola, debo ir
> DB por DB dando permisos a ese usuario para que pueda hacer una consulta??

Ciertamente. O preferirias que se le diera permiso sobre todo,
indiscriminadamente? Seria clasificado como "vulnerabilidad severa de
seguridad", no te parece?

--
Alvaro Herrera http://www.CommandPrompt.com/
PostgreSQL Replication, Consulting, Custom Development, 24x7 support

El día 8/05/06, Alvaro Herrera <alvherre(at)commandprompt(dot)com> escribió:
>
> La Pasion Del Rio escribió:
>
> > Bueno pues eso me funciona pero me han surgido otras dudas ahora que no
> > esperaba. Planteamiento: en mi pg_hda.conf para darle permisos a unos
> > usuarios nuevos que acabo de crear he puesto lo siguiente:
> >
> > local all all ident sameuser
> > host all all 192.168.1.0/60 255.255.255.255 md5
> >
> > También he probado con :host all all 192.168.1.0/60 md5
> >
> > Ni uno ni otra forma me funciona: La respuesta desde el servidor es:
> > " Warning: pg_connect(): Unable to connect to PostgreSQL server: FATAL:
> No
> > se encuentra pg_hba.conf o el archivo es incorrecto HINT: Vea el
> > registro del servidor para obtener más detalles."
>
> El archivo probablemente sea incorrecto ... partamos por ejemplo por que
> nos expliques de donde inventaste ese /60? Que crees tu que significa?

Pues con ese /60 pensé darle permisos al rango de ip's desde la 0 a la 60,
pero según veo no hace falta. Por lo que veo se puede acceder desde
cualquier ip de la subred. ¿Cómo hago para filtar un rango de ip's?

> PD: ¿Cuando creo un usuario con CREATE USER desde pgsql en consola, debo
ir
> DB por DB dando permisos a ese usuario para que pueda hacer una consulta??

> Ciertamente. O preferirias que se le diera permiso sobre todo,
> indiscriminadamente? Seria clasificado como "vulnerabilidad severa de
> seguridad", no te parece?

Pues sí que me lo parece, pero pensé que con el "All All" en pg_hba.conf
le daba permisos a todos los usuario para consultar todas las bases de
datos. Ya veo que no es cierto.

Muchas Gracias.

La Pasion Del Rio escribió:
> El día 8/05/06, Alvaro Herrera <alvherre(at)commandprompt(dot)com> escribió:

> >El archivo probablemente sea incorrecto ... partamos por ejemplo por que
> >nos expliques de donde inventaste ese /60? Que crees tu que significa?
>
> Pues con ese /60 pensé darle permisos al rango de ip's desde la 0 a la 60,
> pero según veo no hace falta. Por lo que veo se puede acceder desde
> cualquier ip de la subred. ¿Cómo hago para filtar un rango de ip's?

Entiendo. Pues no, el /60 es una especificacion de mascara de red. En
tu caso probablemente una mascara sensata seria /24; pero eso permite
conectarse a todos los hosts de la subred 192.168.1.0 (desde 192.168.1.1
hasta 192.168.1.254). Una idea seria especificar

192.168.1.0 255.255.255.64

lo cual si no me equivoco permitiria a los hosts desde 196.168.1.0 hasta
192.168.1.64, pero francamente creo que esto es una mala idea. (Hay
alguien en la IP 192.168.1.100 de quien desconfias?)

> >Ciertamente. O preferirias que se le diera permiso sobre todo,
> >indiscriminadamente? Seria clasificado como "vulnerabilidad severa de
> >seguridad", no te parece?
>
> Pues sí que me lo parece, pero pensé que con el "All All" en pg_hba.conf
> le daba permisos a todos los usuario para consultar todas las bases de
> datos. Ya veo que no es cierto.

Les da permiso para _conectarse_. Una vez que estan conectados,
necesitan permisos para acceder a los elementos que estan dentro de la
BD.

--
Alvaro Herrera http://www.CommandPrompt.com/
The PostgreSQL Company - Command Prompt, Inc.

> Entiendo. Pues no, el /60 es una especificacion de mascara de red. En
> tu caso probablemente una mascara sensata seria /24; pero eso permite
> conectarse a todos los hosts de la subred 192.168.1.0 (desde 192.168.1.1
> hasta 192.168.1.254). Una idea seria especificar
>
> 192.168.1.0 255.255.255.64
>
> lo cual si no me equivoco permitiria a los hosts desde 196.168.1.0 hasta
> 192.168.1.64, pero francamente creo que esto es una mala idea. (Hay
> alguien en la IP 192.168.1.100 de quien desconfias?)

Pues no se trataba de desconfiar sino de saber filtrar un rango de ip's,
pero bueno, ya veo que es cuestión de jugar con la máscara. Ya me pondré
cuando disponga de más tiempo.

> >Ciertamente. O preferirias que se le diera permiso sobre todo,
> > >indiscriminadamente? Seria clasificado como "vulnerabilidad severa de
> > >seguridad", no te parece?
> >
> > Pues sí que me lo parece, pero pensé que con el "All All" en
> pg_hba.conf
> > le daba permisos a todos los usuario para consultar todas las bases de
> > datos. Ya veo que no es cierto.
>
> Les da permiso para _conectarse_. Una vez que estan conectados,
> necesitan permisos para acceder a los elementos que estan dentro de la
> BD.

Ok, detalle importante ese.

Muchísimas Gracias Alvaro Herrera por resolver estas dudas que se me
planteaban.
Un Saludo.

On 08/05/06, La Pasion Del Rio <lapasiondelrio(at)gmail(dot)com> wrote:
>
>
> > Entiendo. Pues no, el /60 es una especificacion de mascara de red. En
> > tu caso probablemente una mascara sensata seria /24; pero eso permite
> > conectarse a todos los hosts de la subred 192.168.1.0 (desde 192.168.1.1
> > hasta 192.168.1.254). Una idea seria especificar
> >
> > 192.168.1.0 255.255.255.64
> >
> > lo cual si no me equivoco permitiria a los hosts desde 196.168.1.0 hasta
> > 192.168.1.64, pero francamente creo que esto es una mala idea. (Hay
> > alguien en la IP 192.168.1.100 de quien desconfias?)
>
>
> Pues no se trataba de desconfiar sino de saber filtrar un rango de ip's,
> pero bueno, ya veo que es cuestión de jugar con la máscara. Ya me pondré
> cuando disponga de más tiempo.
>

Si la seguridad es un problema para ti entonces no lo dejes para despues.

Personalmente uso la misma politica que se usan en los firewalls:
«denegar todo y permitir solo los necesario» Si especificas la mascara
/32 te estaras refiriendo a un solo host, lo cual creo que es mas
seguro que dar un rango completo. A menos que lo que necesites es que
todo una red se pueda conectar.

> > > >Ciertamente. O preferirias que se le diera permiso sobre todo,
> > > >indiscriminadamente? Seria clasificado como "vulnerabilidad severa de
> > > >seguridad", no te parece?
> > >
> > > Pues sí que me lo parece, pero pensé que con el "All All" en
> pg_hba.conf
> > > le daba permisos a todos los usuario para consultar todas las bases de
> > > datos. Ya veo que no es cierto.
> >
> > Les da permiso para _conectarse_. Una vez que estan conectados,
> > necesitan permisos para acceder a los elementos que estan dentro de la
> > BD.
>
>