[LENNY] PostgreSQL ne démarre pas en SSL

Le
Jean-Max Redonnet
--001636c5b8072754c5046a4309f3
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour tout le monde,

Je viens d'installer PostgreSQL et le serveur refuse catégoriquement d=
e
démarrer tant que la variable *ssl* du fichier *postgresql.conf* est
positionné à *true* (ce qui est pourtant la config par défau=
t).

Dans ce cas, il m'affiche :

Auto configuration failed
19631:error:0E065068:configuration file routines:STR_COPY:variable has no
value:conf_def.c:629:line 37

En cherchant sur le net, j'ai vu qu'on pouvait trouver ce genre d'erreur
pour OpenVPN, ce qui aurait tendance à me conforter dans l'idée q=
ue le
problème est effectivement lié à SSL. Bien sûr, OpenSSL=
est installé et j'ai
même gardé la config par défaut (excepté la variable *d=
ir* que j'ai
positionné à l'endroit où je stocke mes certificats ; ce qui=
marche très
bien avec d'autres services tels que LDAP et ne devrait donc pas poser de
problème).

Bon. Dans la mesure où le serveur postgres n'est accessible que depuis
localhost, je n'ai pas expressément besoin de SSL (une fois la variabl=
e *ssl
* commenté, le serveur se lance sans problème), mais j'aimerais q=
uand même
bien comprendre ce qui se passe.

Si vous avez des idées, je vous bénirai, vous et votre descendanc=
e pour
mille générations.

JMR

--001636c5b8072754c5046a4309f3
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour tout le monde,<br><br>Je viens d&#39;installer PostgreSQL et le ser=
veur refuse catégoriquement de démarrer tant que la variable <b>s=
sl</b> du fichier <b>postgresql.conf</b> est positionné à <b>true=
</b> (ce qui est pourtant la config par défaut). <br>
<br>Dans ce cas, il m&#39;affiche :<br><br>Auto configuration failed<br>196=
31:error:0E065068:configuration file routines:STR_COPY:variable has no valu=
e:conf_def.c:629:line 37<br><br>En cherchant sur le net, j&#39;ai vu qu&#39=
;on pouvait trouver ce genre d&#39;erreur pour OpenVPN, ce qui aurait tenda=
nce à me conforter dans l&#39;idée que le problème est effec=
tivement lié à SSL. Bien sûr, OpenSSL est installé et j=
&#39;ai même gardé la config par défaut (excepté la var=
iable <b>dir</b> que j&#39;ai positionné à l&#39;endroit où =
je stocke mes certificats ; ce qui marche très bien avec d&#39;autres =
services tels que LDAP et ne devrait donc pas poser de problème).<br>
<br>Bon. Dans la mesure où le serveur postgres n&#39;est accessible qu=
e depuis localhost, je n&#39;ai pas expressément besoin de SSL (une fo=
is la variable <b>ssl</b> commenté, le serveur se lance sans problÃ=
¨me), mais j&#39;aimerais quand même bien comprendre ce qui se passe=
.<br>
<br>Si vous avez des idées, je vous bénirai, vous et votre descen=
dance pour mille générations.<br><br>JMR<br>

--001636c5b8072754c5046a4309f3--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fanfan
Le #19368391
--2fHTh5uZTiUOsy+g
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le Tuesday 19 May 2009 à 14:27:35 (+0200), Jean-Max Redonnet a écrit :
Si vous avez des idées, je vous bénirai, vous et votre descendance po ur
mille générations.



As tu bien déclaré les fichiers de clé privée, de certificat sign é, de
certificat de la CA qui a signé ton certificat dans le fichier de
configuration (je n'utilise pas PostgreSQL, je ne sais pas exactement où
les déclarer) ?

Ces fichiers sont ils bien protégés avec les bons droits restrictifs
(typiquement 640, voir 600) ?

Appartiennent ils à l'utilisateur (si droit 600) ou au groupe (si droit
640) qui exécute le démon PostgreSQL ?

Ce ne sont que des pistes, mais je me suis souvent fait avoir.

Fanfan
--
Voir le possible là où les autres voient l'impossible, telle est la
clé du succès.
[ Charles-Albert Poissant ]

--2fHTh5uZTiUOsy+g
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iD8DBQFKEscon0FdfiSfsswRAs8NAKCp6trI1gml8JqJ+15FN3+Ahj9n5gCgx+Ki
yIBPGcKIwfvEERA+/w4Fwu4 =ny7R
-----END PGP SIGNATURE-----

--2fHTh5uZTiUOsy+g--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean-Max Redonnet
Le #19368501
--001485f812908bffc3046a45f86b
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 19 mai 2009 16:50, Fanfan
Le Tuesday 19 May 2009 à 14:27:35 (+0200), Jean-Max Redonnet a à ©crit :
> Si vous avez des idées, je vous bénirai, vous et votre descen dance pour
> mille générations.

As tu bien déclaré les fichiers de clé privée, de cer tificat signé, de
certificat de la CA qui a signé ton certificat dans le fichier de
configuration (je n'utilise pas PostgreSQL, je ne sais pas exactement o ù
les déclarer) ?





Ben oui, je crois... d'après la doc de postgres (
http://docs.postgresqlfr.org/8.3/ssl-tcp.html#ssl-file-usage), les
certificats sont à la racine de la base. il s'agit des fichiers server .key,
server.crt, root.crt et root.crl que dans mon cas, j'ai fait pointer via de s
liens symboliques vers mes vrais certificats que l'utilisateur postgres qui
lance le demon peut lire...

J'ai plutôt l'impression qu'au démarrage le serveur postgres lit openssl.cnf
et qu'il y trouve quelque chose qui ne lui plait pas :-(



Ces fichiers sont ils bien protégés avec les bons droits restri ctifs
(typiquement 640, voir 600) ?

Appartiennent ils à l'utilisateur (si droit 600) ou au groupe (si dr oit
640) qui exécute le démon PostgreSQL ?

Ce ne sont que des pistes, mais je me suis souvent fait avoir.




En tout cas merci pour ta réponse...



Fanfan
--
Voir le possible là où les autres voient l'impossible, telle es t la
clé du succès.
[ Charles-Albert Poissant ]

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iD8DBQFKEscon0FdfiSfsswRAs8NAKCp6trI1gml8JqJ+15FN3+Ahj9n5gCgx+Ki
yIBPGcKIwfvEERA+/w4Fwu4=
=ny7R
-----END PGP SIGNATURE-----





--001485f812908bffc3046a45f86b
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le Tuesday 19 May 2009 à 14:27:35 (+0200), Jean-Max Redonnet a éc rit :<br>
<div class="im">&gt; Si vous avez des idées, je vous bénirai, v ous et votre descendance pour<br>
&gt; mille générations.<br>
<br>
</div>As tu bien déclaré les fichiers de clé privée, de certificat signé, de<br>
certificat de la CA qui a signé ton certificat dans le fichier de<br>
configuration (je n&#39;utilise pas PostgreSQL, je ne sais pas exactement o ù<br>
les déclarer) ?<br>
et   Ces fichiers sont ils bien protégés avec les bons droits restrict ifs<br>
(typiquement 640, voir 600) ?<br>
<br>
Appartiennent ils à l&#39;utilisateur (si droit 600) ou au groupe (si droit<br>
640) qui exécute le démon PostgreSQL ?<br>
<br>
Ce ne sont que des pistes, mais je me suis souvent fait avoir. <br>
<br>
Fanfan<br>
<font color="#888888">--<br>
Voir le possible là où les autres voient l&#39;impossible, telle est la<br>
clé du succès.<br>
                           [ Charles-Albert Poissant ]<br>
</font><br>-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.9 (GNU/Linux)<br>
<br>
iD8DBQFKEscon0FdfiSfsswRAs8NAKCp6trI1gml8JqJ+15FN3+Ahj9n5gCgx+Ki<br>
yIBPGcKIwfvEERA+/w4Fwu4=<br>
=ny7R<br>
-----END PGP SIGNATURE-----<br>
<br></blockquote></div><br>

--001485f812908bffc3046a45f86b--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme