PostgreSQL/Sécurité
Comptes système
modifier- Sur Windows, il faut que l'utilisateur se soit connecté au moins une fois avec PgAdmin pour que le mot de passe de la base soit enregistré (en clair) dans son répertoire personnel : C:\Users\MonUtilisateur\AppData\Roaming\postgresql\pgpass.conf.
- Sur Linux, c'est stocké dans ~/.pgpass par défaut.
Rôles
modifierPostgreSQL reconnait le concept des rôles (roles
)[1] pour assurer la sécurité de l'authentification et de l'identification, indépendamment des comptes du système d'exploitation.
Ce concept dépasse celui des utilisateurs et groupes : un rôle peut être pensé soit comme un utilisateur de base de données, soit comme un groupe de ceux-ci. Les rôles possèdent certain privilèges sur les objets de la base comme les tables ou les fonctions, et peuvent les transmettre à d'autres rôles. Les rôles sont globaux au sein d'un cluster, et pas seulement valables pour une seule base.
Souvent les utilisateurs devant avoir des privilèges identiques sont rassemblés dans un groupe qui reçoit les permissions.
-- Groupe
CREATE ROLE group_1 ENCRYPTED PASSWORD 'xyz';
GRANT SELECT ON table_1 TO group_1;
-- Utilisateurs
CREATE ROLE adam LOGIN ENCRYPTED PASSWORD 'xyz'; -- NOLOGIN par défaut
CREATE ROLE anne LOGIN ENCRYPTED PASSWORD 'xyz';
-- Lien entre les deux
GRANT group_1 TO adam, anne;
La commande CREATE ROLE
peut assigner les privilèges SUPERUSER, CREATEDB, CREATEROLE, REPLICATION et LOGIN. GRANT
confère les permissions d'accès aux tables ou l'appartenance à un groupe.
Implicitement le rôle spécial PUBLIC
peut être vu comme un groupe qui inclut tous les rôles. Par conséquent les privilèges assignés à PUBLIC
sont implicitement donnés à tous les rôles, même ceux créés plus tard.
Utilisateurs
modifier select * from postgres.pg_catalog.pg_user