Всем доброго вечера. Есть проблема - может сталкивались. Подключаюсь к postgres, но не как обычно, а с аутентификацией типа gss - использую kerberos и домен в линуксе (freeIPA). В общем мне нужно как-то токен пользователя передать в psycopg2, но она использует libpq и там нет специальных атрибутов для токена - libpq как-то умеет брать токен из системы. Но у меня пользователи ходят к postgres через сервер, а не напрямую в бд и поэтому я должен передать токен пользователя серверу, а он уже использует его при подключении к бд через paycopg2. Кто-нибудь делал что-то подобное?

Всем доброго вечера. Есть проблема - может сталкивались. Подключаюсь к postgres, но не как обычно, а с аутентификацией типа gss - использую kerberos и домен в линуксе (freeIPA). В общем мне нужно как-то токен пользователя передать в psycopg2, но она использует libpq и там нет специальных атрибутов для токена - libpq как-то умеет брать токен из системы. Но у меня пользователи ходят к postgres через сервер, а не напрямую в бд и поэтому я должен передать токен пользователя серверу, а он уже использует его при подключении к бд через paycopg2. Кто-нибудь делал что-то подобное?

А не проще ли приложению подключаться от имени единого пользователя БД?

зачем клиента вебсервера пускать в бд с его учеткой?

Чтобы настроить авторизацию - доменным пользователям назначить группы в ident.conf и на эти группы уже настроить через GRANT команды права на операции с данными на разных таблицах бд

как разделение прав на записи в таблицах?

Да, row_level_security на строках таблиц для разных ролей пользователей

Там один раз администратор настраивает права на таблицах в бд для разных ролей, потом доменные имена транслируются в роли пользователей, хранимки пока не используются