« PostgreSQL/Sécurité » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 3 : | Ligne 3 : | ||
== Comptes système == |
== Comptes système == |
||
* Sur Windows, il faut que l'utilisateur se soit connecté au moins une fois avec PgAdmin pour que le mot de passe de la base soit enregistré (en clair) dans son répertoire personnel : <u>C:\Users\MonUtilisateur\AppData\Roaming\postgresql\pgpass.conf</u>. |
* Sur Windows, il faut que l'utilisateur se soit connecté au moins une fois avec PgAdmin pour que le mot de passe de la base soit enregistré (en clair) dans son répertoire personnel : <u>C:\Users\MonUtilisateur\AppData\Roaming\postgresql\pgpass.conf</u>. |
||
* Sur Linux, |
* Sur Linux, c'est stocké dans ''~/.pgpass'' par défaut. |
||
== Rôles == |
== Rôles == |
||
PostgreSQL |
PostgreSQL reconnait le concept des rôles (<code>roles</code>)<ref>[http://www.postgresql.org/docs/current/static/user-manag.html Concept of roles]</ref> pour assurer la sécurité de l'authentification et de l'identification, indépendamment des comptes du système d'exploitation. |
||
Ce concept dépasse celui des utilisateurs et groupes : un rôle peut être pensé soit comme un utilisateur de base de données, soit comme un groupe de ceux-ci. Les rôles possèdent certain privilèges sur les objets de la base comme les tables ou les fonctions, et peuvent les transmettre à d'autres rôles. Les rôles sont globaux au sein d'un {{wt|cluster}}, et pas seulement valables pour une seule base. |
|||
This concept of roles subsumes the concepts of "users" and "groups". A role can be thought of as either a database user, or a group of database users, depending on how the role is set up. Roles have certain privileges on database objects like tables or functions and can assign those privileges to other roles. Roles are global across a cluster - and not per individual database. |
|||
Often users, which shall have identical privileges, are grouped together to a user group and the privileges are granted to the group. |
Often users, which shall have identical privileges, are grouped together to a user group and the privileges are granted to the group. |
||
Version du 29 septembre 2016 à 11:16
Comptes système
- Sur Windows, il faut que l'utilisateur se soit connecté au moins une fois avec PgAdmin pour que le mot de passe de la base soit enregistré (en clair) dans son répertoire personnel : C:\Users\MonUtilisateur\AppData\Roaming\postgresql\pgpass.conf.
- Sur Linux, c'est stocké dans ~/.pgpass par défaut.
Rôles
PostgreSQL reconnait le concept des rôles (roles)[1] pour assurer la sécurité de l'authentification et de l'identification, indépendamment des comptes du système d'exploitation.
Ce concept dépasse celui des utilisateurs et groupes : un rôle peut être pensé soit comme un utilisateur de base de données, soit comme un groupe de ceux-ci. Les rôles possèdent certain privilèges sur les objets de la base comme les tables ou les fonctions, et peuvent les transmettre à d'autres rôles. Les rôles sont globaux au sein d'un cluster, et pas seulement valables pour une seule base.
Often users, which shall have identical privileges, are grouped together to a user group and the privileges are granted to the group.
-- the user group CREATE ROLE group_1 ENCRYPTED PASSWORD 'xyz'; GRANT SELECT ON table_1 TO group_1; -- the users CREATE ROLE adam LOGIN ENCRYPTED PASSWORD 'xyz'; -- Default is NOLOGIN CREATE ROLE anne LOGIN ENCRYPTED PASSWORD 'xyz'; -- the link between user group and users GRANT group_1 TO adam, anne;
Concerning CREATE ROLE you can assign the privileges SUPERUSER, CREATEDB, CREATEROLE, REPLICATION and LOGIN. Concerning GRANT you can pass on access privileges to database objects like tables - or you define group membership.
Implicitly there is the special role PUBLIC, which can be thought of as a group that always includes all roles. Thus, privileges assigned to PUBLIC are implicitly given to all roles, even when those roles are created at a later stage.
