Клиентские сертификаты SSL в PostgreSQL

From

Victor Wagner (2:5020/400)

To

All

Date

2006-05-18T08:45:52Z

Area

SU.DBMS.SQL

From: vitus@45.free.net (Victor Wagner)

Известно что полноценной аутентификации по SSL-сертификатам в PostgreSQL
пока нет. Есть возможность потребовать наличия у клиента сертификата,
и проверить его валидность. 

Но по хорошему счету именно аутентификация - определение имени
пользователя по сертификату нужна далеко не всегда. Во
многих задачах все пользователи имеют примерно равные права. 
(допустим, мы имеем 20 операторов ввода данных, и каждый таскает с собой
карточку с секретным ключом и сертификатом. Садясь на рабочее место он
втыкает её в считыватель, и коннектится к серверу БД используя этот
сертификат) Достаточно чтобы где-то в базе сохранялась информация о том,
кто именно произвел данное изменение.

Вчера дописал в PostgreSQL internal-функцию ssl_client_dn, которая
возвращает полное Distinguished Name сертификата в виде
/CN=Вася Пупкин/O=Мега-пупер-фирма/OU=Розничная торговля/C=RU

Которую можно использовать в любом месте в пределах данной сессии.

В связи с этим возникли два вопроса
1. А обязательно ли её internal делать? Может можно в виде подгружаемой
библиотеки? В смысле - а смогу ли я в виндовой сборке PostgreSQL 8.1
добраться из функции Language 'C'  до переменной MyProcPort?
То что на большинстве других платформ смогу, я и сам знаю. Но мне надо
чтобы в виндах тоже работало.

2. Тут явно есть народ который с аудитом в базах данных имел дело
побольше моего. Вопрос к этому народу - а какие еще информационные
функции о сертификате клиента (и вообще об SSL) вы хотели бы видеть?

Варианты 
1. Отдельные поля DN
2. Всякие X509 extensions 
3. Дата начала/конца срока действия сертификата
4. DN удостоверяющего центра, который выдал сертификат (если сервер
доверяет нескольким УЦ)
5. ciphersuite, используемый в текущем tls-соедиенни (psql его при
коннекте показывает, но может на стороне сервера это тоже знать полезно)




-- 
--- ifmail v.2.15dev5.3
 * Origin: Free Net of Leninsky,45 (2:5020/400)
SEEN-BY: 46/50 50/12 203 450/159 186 1024 451/30 454/9 461/43 132 640 469/999
SEEN-BY: 4614/20 4616/3 4625/8 4641/444 5000/76 5000 5001/5001 5003/17 5006/1
SEEN-BY: 5007/1 5010/53 70 5011/13 5012/23 46 5015/28 5019/31 5020/86 175 194
SEEN-BY: 5020/400 545 639 715 758 830 982 1057 1200 1523 1604 1665 1909 1922
SEEN-BY: 5020/2013 2238 4441 5021/3 29 5022/128 5025/3 750 5026/10 14 45
SEEN-BY: 5027/12 5029/32 5030/115 217 436 473 556 966 1063 1080 1339 1900
SEEN-BY: 5035/38 5036/1 5040/47 5042/13 5045/7 5047/47 5049/1 5051/15 5053/16
SEEN-BY: 5054/1 8 9 28 35 37 45 63 67 5055/95 5057/1 5059/9 5060/88 5061/15
SEEN-BY: 5062/1 5066/18 5077/70 5080/68 1003 5082/6 5083/21 5084/32 5085/13
SEEN-BY: 5090/106 5093/27 5095/20 5096/18 5099/133 6009/1

PATH: 5020/400 4441 545 5054/1 37