Prava uzivatelu v PG

Karel Zak zakkr na zf.jcu.cz
Sobota Únor 26 01:26:20 CET 2005


On Fri, 2005-02-25 at 14:54 +0100, Jan Kasprzak wrote:
> 	Zdravim,
> 
> mam par dotazu k Postgresu:
> 
> - lze zaridit, abych mel vice uzivatelu v databazi s takovym chovanim,
> 	ze cokoliv nekdo z tech uzivatelu vytvori, bude pristupne i pro
> 	jine uzivatele? Abych nemusel delat explicitne GRANT ALL.
> 	Duvodem je heslo na vice mistech, resp. moznost zmenit heslo
> 	jen na jednom miste v pripade zmeny v seznamu osob, kteri maji
> 	pristup k DB.

Nic rozumneho mne nenapada. Idealni by byla nejaka maska pro usera --
ale to nejde.

> - jak rozumne poustet pg_autovacuum, pokud mi na serveru nemuze bezet
> 	ident a nemam tam "uplne duveryhodne" lokalni uzivatele?
> 	Pokud bych pg_autovacuum zadal heslo, je to heslo videt v tabulce
> 	procesu (nebo umi pg_autovacuum cist heslo i treba ze souboru)?
> 	Nebo jaka je jina metoda? Spoustet parkrat za den (jak casto?)
> 	VACUUM a ANALYZE? Ja mam pocit, ze z UNIXoveho socketu lze zjistit
> 	UID procesu na druhe strane, cili by postmaster teoreticky
> 	mohl vedet, ze se hlasi uzivatel "postgres". Jedna moznost
> 	je mit UNIXovy socket s pravy 0600 jen pro tyto ucely a ostatni
> 	veci (i lokalni uzivatele) poustet pres TCP. Neco lepsiho?


$(HOME)/.pgpass
	http://docs.linux.cz/databases/postgresql/libpq-pgpass.html

A mozna bude jeste chodit PGPASSWORD env., ale:

PGPASSWORD sets the password used if the server demands password
authentication. This environment variable is deprecated for security
reasons; consider migrating to use the $HOME/.pgpass file

http://docs.linux.cz/databases/postgresql/libpq-envars.html

	karel

-- 
Karel Zak <zakkr na zf.jcu.cz>



Další informace o konferenci Test