La création de l'utilisateur avec mot de passe crypté dans PostgreSQL

Est-il possible de créer un utilisateur PostgreSQL sans fournir le mot de passe en texte brut (idéalement, je voudrais être en mesure de créer un utilisateur de ne fournir que de son mot de passe crypté avec l'algorithme sha-256) ?

Ce que je voudrais faire est de créer un utilisateur avec quelque chose comme ça :

CREATE USER "martin" WITH PASSWORD '$6$kH3l2bj8iT$KKrTAKDF4OoE7w.oy(...)BPwcTBN/V42hqE.';

Est-il un moyen de le faire ?

Merci pour votre aide.

InformationsquelleAutor Martin | 2013-07-02
  1. 59

    Vous pouvez fournir le mot de passe déjà hachée avec md5, comme dit dans la doc (CRÉER UN RÔLE):

    CHIFFRÉ non CHIFFRÉ Ces mots-clés contrôler si le mot de passe est
    sont cryptées et stockées dans les catalogues système. (Si aucune n'est spécifiée, la
    le comportement par défaut est déterminée par le paramètre de configuration
    password_encryption.) Si la chaîne de mot de passe est déjà en
    MD5-format crypté, puis il est stocké crypté est-à -    , indépendamment de
    CHIFFRÉ ou non spécifié (puisque le système ne peut pas
    décrypter la spécifié de mot de passe crypté de la chaîne). Cela permet
    le rechargement des mots de passe cryptés lors de dump/restore.

    L'information qui manque ici, c'est que le MD5-chaîne cryptée devrait être le mot de passe concatened avec le nom d'utilisateur, plus md5 au début.

    Ainsi, par exemple, pour créer u0 avec le mot de passe foobar, sachant que md5('foobaru0') est ac4bbe016b808c3c0b816981f240dcae:

    CREATE USER u0 PASSWORD 'md5ac4bbe016b808c3c0b816981f240dcae';

    et puis u0 sera en mesure de se connecter en tapant foobar que le mot de passe.

    Je ne pense pas qu'il y a actuellement un moyen d'utiliser SHA-256 au lieu de md5 pour PostgreSQL mots de passe.

    • Le régulier mixup de cryptage et de de hachage me rend triste 🙁 MD5 est un de hachage de l'algorithme, ce qui signifie qu'il n'existe pas de clé de "décrypter" le mot de passe mais force brute ou d'une collision attaque...
    • Comment avez-vous chiffrer foobar pour arriver à ac4bbe016b808c3c0b816981f240dcae? Je suis en train echo "foobaru0" | md5sum | cut -d' ' -f1 et je reçois un autre. Puis essayer avec CREATE USER u0 PASSWORD 'md5c49aa8b010dbdeec293c5a9504fb5531'; crée de l'utilisateur, mais lorsque j'essaie de me connecter avec le mot de passe foobar il ne l'accepte pas. Dit psql: FATAL: password authentication failed for user "u0"
    • utilisation echo -n pour supprimer le caractère de saut de ligne, sinon il se haché trop. J'ai utilisé select md5(...) en SQL.
    • Merci. Qui ont travaillé. J'ai également supprimé les guillemets. Ils n'étaient pas nécessaires.
    • La troisième fois est un charme. J'ai eu cette ligne de commande à travailler pour moi. C'est un moyen pratique d'obtenir le bon hash: U=u0; P=foobar; echo -n md5; echo -n $P$U | md5sum | cut -d' ' -f1
    • C'est MD5, qui a été cassé il y a longtemps, donc il y a au moins une chance que l'un des mots de passe pourrait être "déchiffré" dans le texte original. En outre, la façon dont ils sont à l'aide de MD5, les hachages sont l'équivalent des mots de passe. De sorte que la force de l'algorithme de hachage n'est pas pertinent dans leur régime de toute façon.

    InformationsquelleAutor Daniel Vérité
  2. 8

    Je ne suis pas au courant d'un moyen de remplacer la valeur par défaut de chiffrement md5 du mot de passe, mais si vous avez un RÔLE (aka "UTILISATEUR") qui a déjà md5 du mot de passe crypté, il semble que vous pouvez fournir cela. Vérifier à l'aide de pg_dumpall -g (pour voir le reste de la grappe)
    Par exemple.

    psql postgres
create role foo with encrypted password foobar;
\q

-- View the role from pg_dumpall -g
pg_dumpall -g | grep foo
CREATE ROLE foo;
ALTER ROLE foo WITH NOSUPERUSER INHERIT NOCREATEROLE NOCREATEDB NOLOGIN NOREPLICATION PASSWORD 'md5c98cbfeb6a347a47eb8e96cfb4c4b890';

Or get it from:
select * from pg_catalog.pg_shadow;

-- create the role again with the already-encrypted password
psql postgres
drop role foo;
CREATE ROLE foo;
ALTER ROLE foo WITH NOSUPERUSER INHERIT NOCREATEROLE NOCREATEDB NOLOGIN NOREPLICATION PASSWORD 'md5c98cbfeb6a347a47eb8e96cfb4c4b890';
\q

-- view the ROLE with the same password
pg_dumpall -g | grep foo
CREATE ROLE foo;
ALTER ROLE foo WITH NOSUPERUSER INHERIT NOCREATEROLE NOCREATEDB NOLOGIN NOREPLICATION PASSWORD 'md5c98cbfeb6a347a47eb8e96cfb4c4b890';

    Docs pour CRÉER UN RÔLE

    InformationsquelleAutor bma
  3. 2

    Moyen beaucoup plus facile à présent est:

    CREATE USER u0 PASSWORD 'foobar'; 

    select * from pg_catalog.pg_shadow;

    Donne passwd: md5ac4bbe016b808c3c0b816981f240dcae

    InformationsquelleAutor Kamil D