PostgreSQL
 sql >> Base de données >  >> RDS >> PostgreSQL

Déclencheur AFTER LOGON (Oracle) dans PostgreSQL avec extension - login_hook

Avant d'entrer dans les détails, merci à l'auteur de l'extension "login hook" pour son développement et sa maintenance.

Plusieurs fois, dans l'exercice de migration Oracle vers Postgres, j'ai vu l'utilisation du déclencheur Oracle Database Event - AFTER LOGON ON. Il s'agit d'un type de déclencheur d'événement de base de données/utilisateur Oracle (LOGON) qui se déclenche lorsqu'un utilisateur se connecte à une base de données, généralement utilisé pour définir l'environnement utilisateur et exécuter des fonctions associées à des rôles d'application sécurisés.

Disons, par exemple, que nous avons un utilisateur d'application où nous voulions qu'il se connecte depuis l'application UNIQUEMENT et non à partir d'autres programmes ou clients (Oracle/SQL*Plus). Ceci peut être réalisé en créant un déclencheur d'événement de base de données APRÈS LA CONNEXION dans Oracle.

Postgres prend en charge la plupart des déclencheurs standard, mais il n'y a pas de déclencheur AFTER LOGON. Pour contourner le problème, j'ai sélectionné login_hook extension qui a plutôt bien fait le travail.

Voyons ce que nous allons convertir d'Oracle en Postgres à l'aide de l'extension. Il existe un déclencheur dans Oracle qui empêche les utilisateurs de l'application de se connecter à la base de données à partir d'autres programmes/clients (sqlplus).

CREATE OR REPLACE TRIGGER program_restrict
AFTER LOGON ON DATABASE
BEGIN
    FOR x IN (SELECT username, program FROM SYS.v_$session WHERE audsid = USERENV ('sessionid'))
    LOOP
    IF LTRIM (RTRIM (x.username)) = 'MIGUSER' AND UPPER(substr(x.program,1,7)) = 'SQLPLUS'
    THEN
      raise_application_error(-20999,'Not authorized to use in the Production environment!');
    END IF;
    END LOOP;
END program_restrict;

D'après le code ci-dessus, il est clair que MIGUSER (utilisateur de l'application) est limité à se connecter via SQL*PLUS client et toute tentative de l'utilisateur entraînera l'erreur suivante :

[oracle@rrr ~]$ rlsqlplus miguser/miguser
... <trimmed banner>
ERROR:
ORA-04088: error during execution of trigger 'SYS.PROGRAM_RESTRICT'
ORA-00604: error occurred at recursive SQL level 1
ORA-20999: Not authorized to use in the Production environment!
ORA-06512: at line 6
ORA-06512: at line 6

Pour contourner l'exigence ci-dessus, nous devons d'abord compiler l'extension login_hook dans Postgres. Les étapes sont très simples comme toute autre compilation d'extension

--Download zip/Git clone the extension
https://github.com/splendiddata/login_hook

-- Set the pg_config in your path
[root@node1-centos8 ~]# export PATH=/usr/pgsql-13/bin:$PATH

-- change to login_hook directory and run make/make install
[root@node1-centos8 ~]# cd login_hook
[root@node1-centos8 login_hook]# make
[root@node1-centos8 login_hook]# make install

-- add the login_hook.so to session_preload_libraries and restart the database

[root@node1-centos8 ~]# grep -i session_preload /var/lib/pgsql/13/data/postgresql.conf
session_preload_libraries = 'login_hook'
[root@node1-centos8 ~]# systemctl restart postgresql-13.service

-- connect to the database and create the extension
[postgres@node1-centos8 ~]$ psql
psql (13.1)
Type "help" for help.

postgres=# create extension login_hook;
CREATE EXTENSION

Maintenant, nous sommes tous prêts à utiliser cette extension. Dans notre cas, nous empêcherons l'utilisateur de l'application d'utiliser le client Postgres psql . Pour cela, utilisez la fonction template fournie sur le login_hook page d'extension et modifiez-la pour capturer le nom de l'application du client à partir de pg_stat_activity affichez-le et terminez-le en utilisant pg_terminate_backend() fonction du système. Remarque :Vous pouvez utiliser la même fonction de modèle à plusieurs fins pour gérer l'utilisateur de l'application.

CREATE OR REPLACE FUNCTION login_hook.login() RETURNS VOID LANGUAGE PLPGSQL AS $$
DECLARE
    ex_state   TEXT;
    ex_message TEXT;
    ex_detail  TEXT;
    ex_hint    TEXT;
    ex_context TEXT;
	rec record;
BEGIN
	IF NOT login_hook.is_executing_login_hook()
	THEN
	    RAISE EXCEPTION 'The login_hook.login() function should only be invoked by the login_hook code';
	END IF;
	
	BEGIN
    for rec in select pid,usename,application_name from pg_stat_activity where application_name ilike 'psql%'
    loop
          if rtrim(rec.usename) = 'miguser' and rtrim(rec.application_name) = 'psql' then
            raise notice 'Application users(%) restricted to connect with any clients(%)',rec.usename,rec.application_name;
            perform pg_terminate_backend(rec.pid);
          end if;
    end loop;
	EXCEPTION
	   WHEN OTHERS THEN
	       GET STACKED DIAGNOSTICS ex_state   = RETURNED_SQLSTATE
	                             , ex_message = MESSAGE_TEXT
	                             , ex_detail  = PG_EXCEPTION_DETAIL
	                             , ex_hint    = PG_EXCEPTION_HINT
	                             , ex_context = PG_EXCEPTION_CONTEXT;
	       RAISE LOG e'Error in login_hook.login()\nsqlstate: %\nmessage : %\ndetail  : %\nhint    : %\ncontext : %'
	               , ex_state
	               , ex_message
	               , ex_detail
	               , ex_hint
	               , ex_context;
    END	;       
END$$;

-- Give exeuction grant on the function. 
GRANT EXECUTE ON FUNCTION login_hook.login() TO PUBLIC;

Voyons maintenant si l'utilisateur de l'application peut utiliser Postgres psql pour se connecter à la base de données.

[postgres@node1-centos8 ~]$ psql -U miguser -d postgres -p 5432
NOTICE:  Application users(miguser) restricted to connect with any clients(psql)
psql: error: FATAL:  terminating connection due to administrator command
CONTEXT:  SQL statement "SELECT pg_terminate_backend(rec.pid)"
PL/pgSQL function login_hook.login() line 20 at PERFORM
SQL statement "select login_hook.login()

Frais. Nous sommes en mesure d'empêcher les connexions des utilisateurs de l'application à partir de tout autre programme/client dans Postgres.

Merci.

–Raghav