openGauss 每日一练第19天

原创酷酷咖啡 2022-12-12

464

学习目标

掌握openGauss的用户和角色管理。

课程学习

使用create user创建的用户与使用create role创建的用户的区别在于，前者可以直接连接登录数据库，而使用create role创建的用户不能直接登录到数据库。必须添加LOGIN权限后，才能登录到数据库管理系统。
删除用户，首先需要将用户拥有的数据库对象转移或者删除。

环境准备
创建一个名叫test_tbs的表空间和一个名叫testdb的数据库：

gsql  -r
CREATE TABLESPACE test_tbs RELATIVE LOCATION 'tablespace/test_tbs1';
CREATE DATABASE testdb WITH TABLESPACE = test_tbs;

使用create user创建用户
使用create user创建的用户，具有登录权限。

--创建一个名叫user1的数据库用户，其密码为kunpeng@1234，并将数据库testdb所有的权限都授予用户user1：

 CREATE USER user1 IDENTIFIED BY 'kunpeng@1234';
 GRANT ALL ON DATABASE testdb TO user1;
--执行下面的gsql元命令，查看系统目前有哪些数据库：
\l
    
--执行下面的gsql元命令，查看系统目前有哪些用户：
\du
\q
--用刚刚创建的数据库用户user1登录到数据库testdb
gsql -d testdb   -U user1   -W kunpeng@1234 -r
\q

使用create role创建用户
使用create role命令创建的用户user2，没有登录权限。

--创建一个新的名叫user2的角色，并将数据库testdb所有的权限都授予用户user2：
用户user2对数据库testdb具有的权限和用户user1一模一样。
  gsql -r

  CREATE ROLE user2 IDENTIFIED BY 'kunpeng@1234';
  GRANT ALL ON DATABASE testdb TO user2;
                          
 
--查看当前openGauss数据库集群由哪些用户：
  \du
   \q
                                    
--使用用户user2尝试登录到数据库testdb：
 gsql -d testdb  -U user2  -W kunpeng@1234 -r

gsql: FATAL:  role "user2" is not permitted to login

原因：
由于数据库用户user2是使用create role语句创建的，目前还不被允许登录到openGauss数据库管理系统。

授予用户user2登录权限后：
授予用户user2登录权限后，可以登录数据库

gsql    -r
alter user user2 LOGIN;
\du

 \q
--现在我们已经授予了user2用户登录数据库的权限，可以正常登录数据库testdb：
 gsql -d testdb   -U user2   -W kunpeng@1234 -r
\q

删除用户和角色
删除用户，首先需要将用户拥有的数据库对象转移或者删除，回收权限。

-- 授予用户user2数据库超级用户的权限：
gsql -r
 ALTER USER user2 SYSADMIN;

--使用用户user2登录到数据库testdb，创建表空间test_tbs1、数据库testdb、表test1和表test2：
 \c testdb user2

 CREATE TABLESPACE test_tbs1 RELATIVE LOCATION 'tablespace/test_tbs11';
CREATE DATABASE testdb WITH TABLESPACE = test_tbs1;
 CREATE TABLE test1(col int);
 CREATE TABLE test2(col int);
\q

--执行如下的命令，删除用户user2：
gsql -r
 drop user user2;

ERROR:  role "user2" cannot be dropped because some objects depend on it
DETAIL:  owner of database testdb
owner of tablespace test_tbs1
privileges for database testdb
2 objects in database testdb

可以看出不能删除用户user2的原因是：
1）用户user2拥有数据库testdb。
2）用户user2拥有表空间对象test_tbs1。
3）用户user2对数据库testdb具有权限。
4）用户user2在数据库testdb中有两个对象。

--要删除用户user2，必须先表空间对象和数据库对象的属主修改为其他的用户（如user1用户），或者干脆将其删除：
 alter database testdb owner to user1;
alter tablespace test_tbs1 owner to user1;

--回收用户user2对testdb数据库的权限：
 REVOKE ALL ON DATABASE testdb FROM user2;

--在testdb中属于用户user2的数据库对象的处理方法可以是：假如该对象还有用，可以将该对象转移给其他用户；假如该对象没有用，可以直接删除掉该对象
                      
--假设表test1已经没有用了，我们可以删除表test1：
\c testdb user2
 drop table test1;

--假设表test2还有用将表test2转移给用户user1：

 REASSIGN OWNED BY user2 to user1;
\dt
\q

--执行删除用户的操作,可以删除user2用户
 gsql -r
drop user user2;
 \du

课程作业

1、创建test10_tbs的表空间，在这个表空间中创建数据库testdb10

-- 创建 test10_tbs 表空间和testdb10 数据库
omm=# create tablespace test10_tbs relative location 'tablespaces/test10_tbs';
CREATE TABLESPACE
omm=# create database testdb10 with tablespace test10_tbs ;
CREATE DATABASE

2、使用create user创建用户user10，登录数据库testdb10，创建测试表t1和t2

-- 创建用户user10 
omm=# create user user10 identified by 'abcd@1234';
NOTICE:  The encrypted password contains MD5 ciphertext, which is not secure.
CREATE ROLE

-- 给用户赋予 public 模式的所有权限, 如果不给权限，创建表时会提示没有schema 的权限
testdb10=> create table t1(id int ,name char(20),age int default 0);
ERROR:  permission denied for schema public
DETAIL:  N/A

testdb10=# grant ALL on SCHEMA public to user10 ;
GRANT

-- 创建和查看表 t1
testdb10=> create table t1(id int,name char(20),age int default 0);
testdb10=> CREATE TABLE

testdb10=> \dt
(1 row)

testdb10=>                          List of relations
 Schema | Name | Type  | Owner  |             Storage              
--------+------+-------+--------+----------------------------------
 public | t1   | table | user10 | {orientation=row,compression=no}


-- 创建表 t2
testdb10=> create table t2(col01 int);
CREATE TABLE
testdb10=> \dt
                         List of relations
 Schema | Name | Type  | Owner  |             Storage              
--------+------+-------+--------+----------------------------------
 public | t1   | table | user10 | {orientation=row,compression=no}
 public | t2   | table | user10 | {orientation=row,compression=no}
(2 rows)

3、使用create role创建角色role10，登录数据库testdb10

-- 创建角色 role10， 通过\du 查看用户，可以看到 role10 是Cannot login无法登录的
testdb10=# create role role10 identified by 'abcd@1234';
NOTICE:  The encrypted password contains MD5 ciphertext, which is not secure.
CREATE ROLE
testdb10=# \du
                                                              List of roles
 Role name |                                                    Attributes                                                    | Member of 
-----------+------------------------------------------------------------------------------------------------------------------+-----------
 gaussdb   | Sysadmin                                                                                                         | {}
 omm       | Sysadmin, Create role, Create DB, Replication, Administer audit, Monitoradmin, Operatoradmin, Policyadmin, UseFT | {}
 role10    | Cannot login                                                                                                     | {}
 user10    |                                                                                                                  | {}
-- 尝试登录，提示没有权限
testdb10=# \c testdb10 role10
Password for user role10: 
FATAL:  role "role10" is not permitted to login
Previous connection kept

-- 赋予role10  用户 login 权限，再次登录就可以成功了
testdb10=# alter user role10 login ;
ALTER ROLE
testdb10=# \c testdb10 role10
Password for user role10: 
Non-SSL connection (SSL connection is recommended when requiring high-security)
You are now connected to database "testdb10" as user "role10".
testdb10=> 

-- 查看用户，已经没有cannot login 的提示了
testdb10=# \du
                                                              List of roles
 Role name |                                                    Attributes                                                    | Member of 
-----------+------------------------------------------------------------------------------------------------------------------+-----------
 gaussdb   | Sysadmin                                                                                                         | {}
 omm       | Sysadmin, Create role, Create DB, Replication, Administer audit, Monitoradmin, Operatoradmin, Policyadmin, UseFT | {}
 role10    |                                                                                                                  | {}
 user10    |

4、将表t1直接删除，将前面创建的表空间和数据库、表t2转给role10，删除用户user10

-- 删除表t1
omm=# \c testdb10 user10
Password for user user10: 
Non-SSL connection (SSL connection is recommended when requiring high-security)
You are now connected to database "testdb10" as user "user10".
testdb10=> drop table t1;
DROP TABLE

-- 将表空间、数据库以及 t2 表的所有者更改为 role10
testdb10=# alter tablespace test10_tbs owner to role10 ;
ALTER TABLESPACE
testdb10=# alter database testdb10 owner to role10 ;
ALTER DATABASE
testdb10=# alter table t2 owner to role10 ;
ALTER TABLE

-- 或者使用 REASSIGN OWNED 将 user10 所拥有的权限转移给 role10 
testdb10=# reassign owned by user10 to role10 ;
REASSIGN OWNED



-- 删除用户user10，提示还有关联模式，无法删除。因此需要先取消 user10 的public 模式权限
testdb10=# drop user user10 ;
ERROR:  role "user10" cannot be dropped because some objects depend on it
DETAIL:  privileges for schema public
privileges for database testdb10
1 object in database omm

-- 回收public 权限
testdb10=# revoke ALL on SCHEMA public FROM user10;
REVOKE 

-- 删除用户 user10
omm=# drop user user10 ;
DROP ROLE

REASSIGN OWNED^[1] — 更改一个数据库角色拥有的数据库对象的拥有关系

5、最后删除role10

-- 删除数据库testdb10
omm=# drop database 
omm        postgres   template0  template1  testdb10   
omm=# drop database testdb10 ;
DROP DATABASE
-- 删除tablespace 
omm=# drop tablespace test10_tbs ;
DROP TABLESPACE
-- 最后删除用户 role10
omm=# drop user role10 ;
DROP ROLE

更改一个数据库角色拥有的数据库对象的拥有关系，具体用法可参考pg 官方文档 ↩︎

opengauss每日一练 opengauss

「喜欢这篇文章，您的关注和赞赏是给作者最好的鼓励」

关注作者