前言:
最近参加了由opengauss、墨天轮、鲲鹏社区一起推出的活动《每日一练 opengauss 3.0.0 数据库在线实训课程》,共21天,墨天轮提供实操环境,特此记录学习笔记。
活动详情:https://www.modb.pro/db/551619
主题:
掌握openGauss的用户和角色管理。
学习笔记
还是一样,我们先来了解一下用户和角色
用户
使用CREATE USER和ALTER USER可以创建和管理数据库用户。openGauss包含一个或多个已命名数据库。用户和角色在整个openGauss范围内是共享的,但是其数据并不共享。即用户可以连接任何数据库,但当连接成功后,任何用户都只能访问连接请求里声明的那个数据库。
非三权分立下,openGauss用户帐户只能由系统管理员或拥有CREATEROLE属性的安全管理员创建和删除。三权分立时,用户帐户只能由初始用户和安全管理员创建。
在用户登录openGauss时会对其进行身份验证。用户可以拥有数据库和数据库对象(例如表),并且可以向用户和角色授予对这些对象的权限以控制谁可以访问哪个对象。除系统管理员外,具有CREATEDB属性的用户可以创建数据库并授予对这些数据库的权限。
角色
角色是一组用户的集合。通过GRANT把角色授予用户后,用户即具有了角色的所有权限。推荐使用角色进行高效权限分配。例如,可以为设计、开发和维护人员创建不同的角色,将角色GRANT给用户后,再向每个角色中的用户授予其工作所需数据的差异权限。在角色级别授予或撤消权限时,这些更改将作用到角色下的所有成员。
openGauss提供了一个隐式定义的拥有所有角色的组PUBLIC,所有创建的用户和角色默认拥有PUBLIC所拥有的权限。关于PUBLIC默认拥有的权限请参考GRANT。要撤销或重新授予用户和角色对PUBLIC的权限,可通过在GRANT和REVOKE指定关键字PUBLIC实现。
要查看所有角色,请查询系统表PG_ROLES:
学习内容:
使用create user创建的用户与使用create role创建的用户的区别在于,前者可以直接连接登录数据库,而使用create role创建的用户不能直接登录到数据库。必须添加LOGIN权限后,才能登录到数据库管理系统。
删除用户,首先需要将用户拥有的数据库对象转移或者删除。
1.创建一个测试数据库testdb
omm@modb:~$ gsql -r
gsql ((openGauss 3.0.0 build 02c14696) compiled at 2022-04-01 18:12:00 commit 0 last mr )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.
omm=# CREATE TABLESPACE test_tbs RELATIVE LOCATION 'tablespace/test_tbs1';
CREATE TABLESPACE
omm=# CREATE DATABASE testdb WITH TABLESPACE = test_tbs;
CREATE DATABASE
omm=#
omm=# \l
List of databases
Name | Owner | Encoding | Collate | Ctype | Access privileges
-----------+-------+----------+---------+-------+-------------------
omm | omm | UTF8 | C | C |
postgres | omm | UTF8 | C | C |
omm=# template0 | omm | UTF8 | C | C | =c/omm +
| | | | | omm=CTc/omm
template1 | omm | UTF8 | C | C | =c/omm +
| | | | | omm=CTc/omm
testdb | omm | UTF8 | C | C |
(5 rows)
omm=#
2.使用create user创建用户
使用create user创建的用户,具有登录权限。
使用create user创建用户user1,并把testdb的权限都赋给user1.
测试使用create user创建的用户user1是否可以登录数据库。
3.使用create role创建用户
使用create role命令创建的用户user2,没有登录权限。
使用create role创建用户user2,并将数据库testdb的权限都授予user2.
其实这里已经能看到,user2不能登录。 我们先测试登录,然后赋权login之后再次尝试登陆。
alter user user2 LOGIN;
omm@modb:~$ gsql -d testdb -U user2 -W kunpeng@1234 -r
gsql ((openGauss 3.0.0 build 02c14696) compiled at 2022-04-01 18:12:00 commit 0 last mr )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.
testdb=> \du
List of roles
Role name | Attributes | Member of
-----------+------------+-----------
user2 | | {}
testdb=>
4.删除用户和角色
删除用户,首先需要将用户拥有的数据库对象转移或者删除,回收权限。
首先给用户user2下面创建一些对象。
omm@modb:~$ gsql -r
gsql ((openGauss 3.0.0 build 02c14696) compiled at 2022-04-01 18:12:00 commit 0 last mr )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.
omm=# ALTER USER user2 SYSADMIN;
ALTER ROLE
omm=# \c testdb user2
Password for user user2:
Non-SSL connection (SSL connection is recommended when requiring high-security)
You are now connected to database "testdb" as user "user2".
testdb=> CREATE TABLESPACE test_tbs1 RELATIVE LOCATION 'tablespace/test_tbs11';
CREATE TABLESPACE
testdb=> CREATE TABLE test1(col int);
CREATE TABLE
testdb=> CREATE TABLE test2(col int);
testdb=> CREATE TABLE
testdb=>
testdb=> \conninfo
You are connected to database "testdb" as user "user2" via socket in "/tmp" at port "5432".
testdb=>
testdb=>
执行命令删除用户user
omm@modb:~$ gsql -r
gsql ((openGauss 3.0.0 build 02c14696) compiled at 2022-04-01 18:12:00 commit 0 last mr )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.
omm=# \du
List of roles
Role name | Attributes
| Member of
-----------+----------------------------------------------------------------------------------------------------------------
--+-----------
gaussdb | Sysadmin
| {}
omm | Sysadmin, Create role, Create DB, Replication, Administer audit, Monitoradmin, Operatoradmin, Policyadmin, UseF
T | {}
user1 |
| {}
user2 | Sysadmin
| {}
omm=# drop user user2;
ERROR: role "user2" cannot be dropped because some objects depend on it
DETAIL: owner of tablespace test_tbs1
privileges for database testdb
2 objects in database testdb
omm=#
#可以看出不能删除用户user2的原因是:
1)用户user2拥有数据库testdb。
2)用户user2拥有表空间对象test_tbs1。
3)用户user2对数据库testdb具有权限。
4)用户user2在数据库testdb中有两个对象。
先将用户user2拥有的权限的对象删除之后再删除user2
--要删除用户user2,必须先表空间对象和数据库对象的属主修改为其他的用户(如user1用户),或者干脆将其删除:
omm=# alter database testdb owner to user1;
ALTER DATABASE
omm=# alter tablespace test_tbs1 owner to user1;
ALTER TABLESPACE
omm=#
--回收用户user2对testdb数据库的权限:
omm=# REVOKE ALL ON DATABASE testdb FROM user2;
REVOKE
omm=#
--假设表test1已经没有用了,我们可以删除表test1:
omm=# \c testdb user2
Password for user user2:
Non-SSL connection (SSL connection is recommended when requiring high-security)
You are now connected to database "testdb" as user "user2".
testdb=> drop table test1;
DROP TABLE
testdb=>
--假设表test2还有用将表test2转移给用户user1:
testdb=> REASSIGN OWNED BY user2 to user1;
REASSIGN OWNED
testdb=>
testdb=> \dt
--------+-------+-------+-------+----------------------------------
public | test2 | table | user1 | {orientation=row,compression=no}
(1 row)
testdb=> List of relations
Schema | Name | Type | Owner | Storage
testdb=> \q
omm@modb:~$
--删除用户user2
omm@modb:~$ gsql -r
gsql ((openGauss 3.0.0 build 02c14696) compiled at 2022-04-01 18:12:00 commit 0 last mr )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.
omm=# drop user user2;
DROP ROLE
omm=# \du
List of roles
Role name | Attributes
| Member of
-----------+----------------------------------------------------------------------------------------------------------------
--+-----------
gaussdb | Sysadmin
| {}
omm | Sysadmin, Create role, Create DB, Replication, Administer audit, Monitoradmin, Operatoradmin, Policyadmin, UseF
T | {}
user1 |
| {}
omm=#
总结:
第19天的学习中,我们学习了关于用户和角色的相关知识,包括创建用户、删除用户等等。
