Я намагаюся зробити обмежених користувачів БД для програми, над якою я працюю, і я хочу відкинути користувача бази даних Postgres, який я використовую для експерименту. Чи є спосіб скасувати користувача, не спершу відкликати всі його права вручну або відкликати всі гранти, які має користувач?
Відповіді:
Як щодо
DROP USER <username>Це фактично псевдонім для DROP ROLE.
Ви повинні відмовитись від експліцитності будь-яких привілеїв, пов’язаних із цим користувачем, а також перемістити його право власності на інші ролі (або скинути об'єкт).
Це найкраще досягти шляхом
REASSIGN OWNED BY <olduser> TO <newuser>і
DROP OWNED BY <olduser>Останній видалить будь-які привілеї, надані користувачеві.
Дивіться документи про постгреси для DROP ROLE та більш детальний опис цього.
Доповнення:
Мабуть, спроба скинути користувача за допомогою команд, згаданих тут, спрацює лише в тому випадку, якщо ви їх виконуєте під час підключення до тієї ж бази даних, з якої були зроблені оригінальні GRANTS, як обговорювалося тут:
Прийнята відповідь призвела до помилок для мене при спробі ПРИЗНАЧЕННЯ, ВЛАСНОГО або ВІДМОВЕНО ВЛАСНИМИ. Для мене працювало наступне:
REVOKE ALL PRIVILEGES ON ALL TABLES IN SCHEMA public FROM username;
REVOKE ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public FROM username;
REVOKE ALL PRIVILEGES ON ALL FUNCTIONS IN SCHEMA public FROM username;
DROP USER username;Користувач може мати привілеї в інших схемах, і в цьому випадку вам доведеться запустити відповідну лінію REVOKE на "public", замінену на правильну схему. Щоб показати всі схеми та типи привілеїв для користувача, я змінив команду \ dp, щоб зробити цей запит:
SELECT
n.nspname as "Schema",
CASE c.relkind
WHEN 'r' THEN 'table'
WHEN 'v' THEN 'view'
WHEN 'm' THEN 'materialized view'
WHEN 'S' THEN 'sequence'
WHEN 'f' THEN 'foreign table'
END as "Type"
FROM pg_catalog.pg_class c
LEFT JOIN pg_catalog.pg_namespace n ON n.oid = c.relnamespace
WHERE pg_catalog.array_to_string(c.relacl, E'\n') LIKE '%username%';Я не впевнений, які типи привілеїв відповідають відкликанню таблиць, послідовностей чи функцій, але я думаю, що всі вони підпадають під одну з трьох.
REVOKE ALL PRIVILEGES ON DATABASE db_name FROM username;
revoke USAGE on SCHEMA some_schema from username;
Також зверніть увагу, якщо ви явно надали:
CONNECT ON DATABASE xxx TO GROUP ,
вам потрібно буде відкликати це окремо від ВІДКРИТИЙ ВЛАСНИЙ, використовуючи:
REVOKE CONNECT ON DATABASE xxx FROM GROUP
Мені довелося додати ще один рядок, щоб REVOKE ...
Після запуску:
REVOKE ALL PRIVILEGES ON ALL TABLES IN SCHEMA public FROM username;
REVOKE ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public FROM username;
REVOKE ALL PRIVILEGES ON ALL FUNCTIONS IN SCHEMA public FROM username;Я все ще отримував помилку: ім'я користувача не можна скинути, оскільки деякі об'єкти залежать від нього ДЕТАЛІ: привілеї для загальнодоступних схем
Мені цього не вистачало:
REVOKE USAGE ON SCHEMA public FROM username;Тоді мені вдалося кинути роль.
DROP USER username;Ось що, нарешті, спрацювало для мене:
REVOKE ALL PRIVILEGES ON ALL TABLES IN SCHEMA myschem FROM user_mike;
REVOKE ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA myschem FROM user_mike;
REVOKE ALL PRIVILEGES ON ALL FUNCTIONS IN SCHEMA myschem FROM user_mike;
REVOKE ALL PRIVILEGES ON SCHEMA myschem FROM user_mike;
ALTER DEFAULT PRIVILEGES IN SCHEMA myschem REVOKE ALL ON SEQUENCES FROM user_mike;
ALTER DEFAULT PRIVILEGES IN SCHEMA myschem REVOKE ALL ON TABLES FROM user_mike;
ALTER DEFAULT PRIVILEGES IN SCHEMA myschem REVOKE ALL ON FUNCTIONS FROM user_mike;
REVOKE USAGE ON SCHEMA myschem FROM user_mike;
REASSIGN OWNED BY user_mike TO masteruser;
DROP USER user_mike ;Немає REVOKE ALL PRIVILEGES ON ALL VIEWS, тому я закінчив:
do $$
DECLARE r record;
begin
for r in select * from pg_views where schemaname = 'myschem'
loop
execute 'revoke all on ' || quote_ident(r.schemaname) ||'.'|| quote_ident(r.viewname) || ' from "XUSER"';
end loop;
end $$;і звичайне:
REVOKE ALL PRIVILEGES ON DATABASE mydb FROM "XUSER";
REVOKE ALL PRIVILEGES ON SCHEMA myschem FROM "XUSER";
REVOKE ALL PRIVILEGES ON ALL TABLES IN SCHEMA myschem FROM "XUSER";
REVOKE ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA myschem FROM "XUSER";
REVOKE ALL PRIVILEGES ON ALL FUNCTIONS IN SCHEMA myschem FROM "XUSER";щоб досягти наступного:
drop role "XUSER";Я зіткнувся з тією ж проблемою і тепер знайшов спосіб її вирішити. Спочатку потрібно видалити базу даних користувача, яку ви хочете залишити. Потім користувача можна легко видалити.
Я створив користувача під назвою "msf" і якийсь час намагався видалити користувача та відтворити його. Я дотримувався наступних кроків і досяг успіху.
1) Відкиньте базу даних
dropdb msf2) скинути користувача
dropuser msfТепер я користувач успішно відмовився.
CREATE TABLE foo(bar SERIAL); ALTER TABLE foo OWNER TO postgres; CREATE USER testuser; GRANT ALL ON foo TO testuser; DROP USER testuserдали повідомлення про помилки:ERROR: role "testuser" cannot be dropped because some objects depend on it DETAIL: access to table foo. Однак,DROP OWNED BY testuserхитрість, очевидно, Постгрес вважає гранти об'єктами, що підлягають видаленню.