学习目标
学习目标
掌握openGauss的用户和角色管理。
课程学习
使用create user创建的用户与使用create role创建的用户的区别在于, 前者可以直接连接登录数据库,而使用create role创建的用户不能直接登录到数据库。必须添加LOGIN权限后,才能登录到数据库管理系统。
删除用户,首先需要将用户拥有的数据库对象转移或者删除。1.环境准备
创建一个名叫test_tbs的表空间和一个名叫testdb的数据库:
gsql -r
CREATE TABLESPACE test_tbs RELATIVE LOCATION 'tablespace/test CREATE DATABASE testdb WITH TABLESPACE = test_tbs;
- 使用create user创建用户
使用create user创建的用户,具有登录权限。
--创建一个名叫user1的数据库用户,其密码为kunpeng@1234,并将数据库te
CREATE USER user1 IDENTIFIED BY 'kunpeng@1234';
GRANT ALL ON DATABASE testdb TO user1;
--执行下面的gsql元命令,查看系统目前有哪些数据库:
\l
--执行下面的gsql元命令,查看系统目前有哪些用户:
\du
\q
--用刚刚创建的数据库用户user1登录到数据库testdb
gsql -d testdb -U user1 -W kunpeng@1234 -r
\q
- 使用create role创建用户
使用create role命令创建的用户user2,没有登录权限。
--创建一个新的名叫user2的角色,并将数据库testdb所有的权限都授予用户u
用户user2对数据库testdb具有的权限和用户user1一模一样。
gsql -r
CREATE ROLE user2 IDENTIFIED BY 'kunpeng@1234';
GRANT ALL ON DATABASE testdb TO user2;
--查看当前openGauss数据库集群由哪些用户:
\du
\q
--使用用户user2尝试登录到数据库testdb:
gsql -d testdb -U user2 -W kunpeng@1234 -r
gsql: FATAL: role "user2" is not permitted to login
原因:
由于数据库用户user2是使用create role语句创建的,目前还不被允许登录到openGauss数据库管理系统。
- 授予用户user2登录权限后:
授予用户user2登录权限后,可以登录数据库
gsql -r
alter user user2 LOGIN;
\du
\q
--现在我们已经授予了user2用户登录数据库的权限,可以正常登录数据库test gsql -d testdb -U user2 -W kunpeng@1234 -r
\q
–修改密码
ALTER USER jim IDENTIFIED BY 'Abcd@123' REPLACE 'abcd@123';
明明密码两次是不一样的,搞不明白。
- 删除用户和角色
删除用户, 首先需要将用户拥有的数据库对象转移或者删除, 回收权限。
-- 授予用户user2数据库超级用户的权限:
gsql -r
ALTER USER user2 SYSADMIN;
--使用用户user2登录到数据库testdb,创建表空间test_tbs1、数据库test
\c testdb user2
CREATE TABLESPACE test_tbs1 RELATIVE LOCATION 'tablespace/tes CREATE DATABASE testdb WITH TABLESPACE = test_tbs1;
CREATE TABLE test1(col int); CREATE TABLE test2(col int);
\q
--执行如下的命令,删除用户user2: gsql -r
drop user user2;
ERROR: role "user2" cannot be dropped because some objects de DETAIL: owner of database testdb
owner of tablespace test_tbs1 privileges for database testdb
2 objects in database testdb
###可以看出不能删除用户user2的原因是: 1)用户user2拥有数据库testdb。
2)用户user2拥有表空间对象test_tbs1。3)用户user2对数据库testdb具有权限。
4)用户user2在数据库testdb中有两个对象。
--要删除用户user2,必须先表空间对象和数据库对象的属主修改为其他的用户alter database testdb owner to user1;
alter tablespace test_tbs1 owner to user1;
--回收用户user2对testdb数据库的权限:
REVOKE ALL ON DATABASE testdb FROM user2;
--在testdb中属于用户user2的数据库对象的处理方法可以是:假如该对象还有
--假设表test1已经没有用了,我们可以删除表test1:
\c testdb user2 drop table test1;
--假设表test2还有用将表test2转移给用户user1:
REASSIGN OWNED BY user2 to user1;
\dt
\q
--执行删除用户的操作,可以删除user2用户gsql -r
drop user user2;
\du
课程作业
1、创建test10_tbs的表空间,在这个表空间中创建数据库testdb10
CREATE TABLESPACE test10_tbs RELATIVE LOCATION 'tablespac e/test_tbs10';
CREATE DATABASE testdb10 WITH TABLESPACE = test10_tbs;
2 、使用create user创建用户user10 , 登录数据库testdb10 , 创建测试表t1和t2
CREATE USER user10 IDENTIFIED BY 'kunpeng@1234'; GRANT ALL ON DATABASE testdb10 TO user10;
3、使用create role创建角色role10,登录数据库testdb10
CREATE ROLE role10 IDENTIFIED BY 'kunpeng@1234'; GRANT ALL ON DATABASE testdb10 TO user10;
alter user role10 LOGIN;
\q
gsql -d testdb10 -U role10 -W kunpeng@1234 -r
4 、将表t1 直接删除, 将前面创建的表空间和数据库、表t2 转给role10 , 删除用户user10
\c testdb10 role10 drop table t1;
REASSIGN OWNED BY role10 to user10;
5、最后删除role10
\q gsql -r
drop user role10;
总结:用户和角色非常重要。
⚫ 角色
角色是一组用户的集合,按照数据库系统中承担的责任划分具有不同权限的角色;角色用来作为权限集合的载体。
角色代表了一个或一组数据库用户的行为约束。
⚫ openGauss提供了一个隐式定义的拥有所有角色的组PUBLIC,所有创建的用户和角色默 认拥有PUBLIC所拥有的权限。
⚫ 要撤销或重新授予用户和角色对PUBLIC的权限,可通过在GRANT和REVOKE指定关键字 PUBLIC实现。
用户与角色
⚫ 用户是实体,角色是行为。
⚫ 用户可被赋予一个或多个角色。
⚫ 角色是一种权限集合,不应该具有登录数据库并执行SQL的能力。
⚫ 对用户权限的管理,可以简化为对角色权限的管理。
⚫ 在openGauss中,用户和角色使用相同的操作方式与维护方式。
