Avant d'entrer dans les détails, merci à l'auteur de l'extension "login hook" pour son développement et sa maintenance.
Plusieurs fois, dans l'exercice de migration Oracle vers Postgres, j'ai vu l'utilisation du déclencheur Oracle Database Event - AFTER LOGON ON. Il s'agit d'un type de déclencheur d'événement de base de données/utilisateur Oracle (LOGON) qui se déclenche lorsqu'un utilisateur se connecte à une base de données, généralement utilisé pour définir l'environnement utilisateur et exécuter des fonctions associées à des rôles d'application sécurisés.
Disons, par exemple, que nous avons un utilisateur d'application où nous voulions qu'il se connecte depuis l'application UNIQUEMENT et non à partir d'autres programmes ou clients (Oracle/SQL*Plus). Ceci peut être réalisé en créant un déclencheur d'événement de base de données APRÈS LA CONNEXION dans Oracle.
Postgres prend en charge la plupart des déclencheurs standard, mais il n'y a pas de déclencheur AFTER LOGON. Pour contourner le problème, j'ai sélectionné login_hook
extension qui a plutôt bien fait le travail.
Voyons ce que nous allons convertir d'Oracle en Postgres à l'aide de l'extension. Il existe un déclencheur dans Oracle qui empêche les utilisateurs de l'application de se connecter à la base de données à partir d'autres programmes/clients (sqlplus).
CREATE OR REPLACE TRIGGER program_restrict
AFTER LOGON ON DATABASE
BEGIN
FOR x IN (SELECT username, program FROM SYS.v_$session WHERE audsid = USERENV ('sessionid'))
LOOP
IF LTRIM (RTRIM (x.username)) = 'MIGUSER' AND UPPER(substr(x.program,1,7)) = 'SQLPLUS'
THEN
raise_application_error(-20999,'Not authorized to use in the Production environment!');
END IF;
END LOOP;
END program_restrict;
D'après le code ci-dessus, il est clair que MIGUSER
(utilisateur de l'application) est limité à se connecter via SQL*PLUS
client et toute tentative de l'utilisateur entraînera l'erreur suivante :
[oracle@rrr ~]$ rlsqlplus miguser/miguser
... <trimmed banner>
ERROR:
ORA-04088: error during execution of trigger 'SYS.PROGRAM_RESTRICT'
ORA-00604: error occurred at recursive SQL level 1
ORA-20999: Not authorized to use in the Production environment!
ORA-06512: at line 6
ORA-06512: at line 6
Pour contourner l'exigence ci-dessus, nous devons d'abord compiler l'extension login_hook
dans Postgres. Les étapes sont très simples comme toute autre compilation d'extension
--Download zip/Git clone the extension
https://github.com/splendiddata/login_hook
-- Set the pg_config in your path
[root@node1-centos8 ~]# export PATH=/usr/pgsql-13/bin:$PATH
-- change to login_hook directory and run make/make install
[root@node1-centos8 ~]# cd login_hook
[root@node1-centos8 login_hook]# make
[root@node1-centos8 login_hook]# make install
-- add the login_hook.so to session_preload_libraries and restart the database
[root@node1-centos8 ~]# grep -i session_preload /var/lib/pgsql/13/data/postgresql.conf
session_preload_libraries = 'login_hook'
[root@node1-centos8 ~]# systemctl restart postgresql-13.service
-- connect to the database and create the extension
[postgres@node1-centos8 ~]$ psql
psql (13.1)
Type "help" for help.
postgres=# create extension login_hook;
CREATE EXTENSION
Maintenant, nous sommes tous prêts à utiliser cette extension. Dans notre cas, nous empêcherons l'utilisateur de l'application d'utiliser le client Postgres psql . Pour cela, utilisez la fonction template fournie sur le login_hook
page d'extension et modifiez-la pour capturer le nom de l'application du client à partir de pg_stat_activity affichez-le et terminez-le en utilisant pg_terminate_backend() fonction du système. Remarque :Vous pouvez utiliser la même fonction de modèle à plusieurs fins pour gérer l'utilisateur de l'application.
CREATE OR REPLACE FUNCTION login_hook.login() RETURNS VOID LANGUAGE PLPGSQL AS $$
DECLARE
ex_state TEXT;
ex_message TEXT;
ex_detail TEXT;
ex_hint TEXT;
ex_context TEXT;
rec record;
BEGIN
IF NOT login_hook.is_executing_login_hook()
THEN
RAISE EXCEPTION 'The login_hook.login() function should only be invoked by the login_hook code';
END IF;
BEGIN
for rec in select pid,usename,application_name from pg_stat_activity where application_name ilike 'psql%'
loop
if rtrim(rec.usename) = 'miguser' and rtrim(rec.application_name) = 'psql' then
raise notice 'Application users(%) restricted to connect with any clients(%)',rec.usename,rec.application_name;
perform pg_terminate_backend(rec.pid);
end if;
end loop;
EXCEPTION
WHEN OTHERS THEN
GET STACKED DIAGNOSTICS ex_state = RETURNED_SQLSTATE
, ex_message = MESSAGE_TEXT
, ex_detail = PG_EXCEPTION_DETAIL
, ex_hint = PG_EXCEPTION_HINT
, ex_context = PG_EXCEPTION_CONTEXT;
RAISE LOG e'Error in login_hook.login()\nsqlstate: %\nmessage : %\ndetail : %\nhint : %\ncontext : %'
, ex_state
, ex_message
, ex_detail
, ex_hint
, ex_context;
END ;
END$$;
-- Give exeuction grant on the function.
GRANT EXECUTE ON FUNCTION login_hook.login() TO PUBLIC;
Voyons maintenant si l'utilisateur de l'application peut utiliser Postgres psql
pour se connecter à la base de données.
[postgres@node1-centos8 ~]$ psql -U miguser -d postgres -p 5432
NOTICE: Application users(miguser) restricted to connect with any clients(psql)
psql: error: FATAL: terminating connection due to administrator command
CONTEXT: SQL statement "SELECT pg_terminate_backend(rec.pid)"
PL/pgSQL function login_hook.login() line 20 at PERFORM
SQL statement "select login_hook.login()
Frais. Nous sommes en mesure d'empêcher les connexions des utilisateurs de l'application à partir de tout autre programme/client dans Postgres.
Merci.
–Raghav