Управление группами
Группы упрощают процедуру назначения прав пользователям. Обычные привилегии должны назначаться каждому пользователю по отдельности. Это может быть весьма утомительно, если нескольким пользователям требуется одинаковый уровень доступа к нескольким объектам базы данных.
Для решения этой проблемы в PostgreSQL создаются группы. При создании группы достаточно указать ее имя, причем группа может быть пустой (то есть не содержащей ни одного пользователя). Пользователи, обладающие общими привилегиями доступа, включаются в группу и в дальнейшем считаются ее членами. Права доступа к объектам базы данных предоставляются группе в целом, а не ее отдельным членам. В системах с большим количеством пользователей и баз данных группы значительно упрощают задачу управления правами.
ПРИМЕЧАНИЕ
Пользователь может входить в любое количество групп, но может и не принадлежать ни к одной группе.
Создание и удаление групп
Прежде чем переходить к управлению группами, сначала необходимо разобраться
в том, как происходит создание и удаление групп. Обе операции требуют
привилегий суперпользователя (за дополнительной информацией о суперпользователях обращайтесь к разделу «Управление пользователями» этой главы).
Создание группы
Любой суперпользователь может создать новую группу PostgreSQL командой SQL CREATE GROUP. Синтаксис команды CREATE GROUP:
CREATE GROUP группа [ WITH
[ SYSID идентификатор_группы ]
[ USER пользователь [. ...]]]
Параметр группа определяет имя создаваемой группы. Имена групп должны начинаться с алфавитного символа, а их длина не может превышать 31 символа. В секции WITH передаются дополнительные атрибуты. Ключевое слово SYSID задает системный идентификатор новой группы. Ключевое слово USER позволяет включить одного или нескольких пользователей в группу на стадии ее создания. Имена членов группы разделяются запятыми.
Следует помнить, что таблицы пользователей и групп в PostgreSQL существуют отдельно друг от друга. Несмотря на это, в PostgreSQL не допускается совпадение системных идентификаторов пользователей и групп.
В листинге 10.11 создается группа sales, в которую при создании включаются два пользователя, all en и vi ncent.
Листинг 10.11. Создание группы
booktown=# CREATE GROUP sales
booktown-# WITH USER alien, Vincent;
CREATE GROUP
Сообщение CREATE GROUP означает, что группа успешно создана. Чтобы убедиться в этом, а также получить список всех существующих групп, достаточно выполнить запрос к системной таблице рд_дгоир. Пример такого запроса приведен в листинге 10.12.
Листинг 10.12. Получение списка групп
booktown=# SELECT * FROM pg_group;
groname grosysid | grolist
sales | 1 | {7017.7016}
accounting | 2 |
marketing | 3
(3 rows)
Обратите внимание на столбец grol 1st — в нем перечислены идентификаторы пользователей PostgreSQL, входящих в группу. Это те самые идентификаторы, которые выводятся в представлении pg_user. Пример:
booktown=# SELECT usename FROM pg_user
booktown-# WHERE usesysid = 7017 OR usesysid = 7016;
usename
alien
vincent
(2 rows)
Удаление группы
Любой суперпользователь может удалять существующие группы командой SQL DROP GROUP. Будьте внимательны при выполнении этой команды, поскольку она необратима и вам не будет предложено подтвердить удаление группы (даже если в ней остаются пользователи). В отличие от команды DROP DATABASE, команда DROP GROUP может выполняться в транзакционном блоке.
Синтаксис команды DROP GROUP:
DROP GROUP группа
Параметр группа определяет имя удаляемой группы. В листинге 10.13 из базы данных booktown удаляется ненужная группа marketi ng.
Листинг 10.13. Удаление группы
booktown=# DROP GROUP marketing;
DROP GROUP
Сообщение DROP GROUP означает, что группа успешно удалена. Учтите, что при удалении группы назначенные ей права не уничтожаются, а всего лишь становятся «бестелесными», не связанными с реальным субъектом. Все права объекта базы данных для удаленной группы фактически относятся не к самой группе, а ее системному идентификатору.
ПРИМЕЧАНИЕ
Случайно удаленную группу можно восстановить. Для этого следует создать новую группу с тем же системным идентификатором, что у удаленной группы. Системный идентификатор назначается ключевым словом SYSID, о котором говорилось в пункте «Создание группы». Если присвоить группе права доступа к таблице и затем удалить эту группу, то права группы для таблицы останутся. Разумеется, в созданную группу нужно будет заново включить пользователей.
Назначение пользователей в группы
Включение пользователей в группы и удаление их из групп в PostgreSQL выполняется командой SQL ALTER GROUP. Синтаксис команды ALTER GROUP:
ALTER GROUP группа { ADD DROP } USER пользователь [. ... ]
Параметр группа определяет имя группы, а параметр пользователь — имя включаемого или удаляемого пользователя (в зависимости от присутствия ключевого слова ADD или DROP).
Включение пользователя в группу
Предположим, ваша компания принимает в отдел сбыта двух новых работников, для которых создаются учетные записи пользователей с именами davi d и ben. В листинге 10.14 приведена команда ALTER GROUP для включения новых пользователей в группу sales.
Листинг 10.14. Включение пользователей в группу
booktown=# ALTER GROUP sales ADD USER david. ben;
ALTER GROUP
Сообщение ALTER GROUP означает, что пользователи david и ben успешно включены в группу sales. В листинге 10.15 приведен запрос к таблице рд_дгоир, проверяющий наличие новых пользователей в группе. Обратите внимание: количество системных идентификаторов в столбце grolist для группы sales увеличилось до четырех.
Листинг 10.15. Проверка факта включения пользователей в группу
booktown=# SELECT * FROM pg_group WHERE groname = 'sales':
groname | grosysid | grolist
sales 1 | {7019.7018.7017.7016}
(1 row)
Удаление пользователя из группы
Предположим, один из работников был переведен из отдела сбыта в бухгалтерию. Чтобы сохранить правильный состав групп и убедиться в том, что он не обладаетправами, предоставляемыми только группе sales, пользователя david необходимо исключить из группы. Задача решается командой ALTER GROUP, приведенной в листинге 10.16.
Листинг 10.16. Удаление пользователя из группы
booktown=# ALTER GROUP sales DROP USER david;
ALTER GROUP
Сообщение ALTER GROUP означает, что пользователь david успешно удален из группы sales.
Перевод работника завершается его включением в группу accounti ng. В следующем фрагменте использованы команды, аналогичные командам в листингах 10.14 и 10.15. В результате пользователь david включается в группу accounting, и любые права, предоставляемые этой группе, будут автоматически предоставляться пользователю david до тех пор, пока он остается членом этой группы.
booktown=# ALTER GROUP accounting ADD USER david:
ALTER GROUP
booktown=# SELECT * FROM pg_group;
groname | grosysid | grolist
sales | 1 | {7016.7017.7019}
accounting 2 | {7018}
(2 rows)