KingbaseES数据库DCL用户管理

于 2024-04-10 08:00:00 发布
阅读量992 收藏 14
点赞数 13
分类专栏: kingbase 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61066945/article/details/137071601
版权
本文详细介绍了KingbaseES数据库中的用户安全管理,包括三种主要角色(DBA、SSO、SAO)的权限划分,以及用户管理的各个环节,如查询用户信息、创建、修改和删除用户,以及资源限制如连接数、期限等。
摘要由CSDN通过智能技术生成

数据库版本:KingbaseES V008R006C008B0014

文章目录如下

1. 用户安全的定义

1.1. 系统管理员(DBA)

1.2. 安全管理员(SSO)

1.3. 审计管理员(SAO)

2. 用户管理

2.1. 查询用户信息

2.2. 创建用户

2.3. 修改用户

2.4. 删除用户

2.5. 用户资源限制

        

1. 用户安全的定义

数据库中关于安全的用户一般包含3种:

  • 数据库管理员(DBA)
  • 安全管理员(SSO)
  • 审计管理员(SAO)

它们各自负责管理和维护数据库系统的日常运行。安全管理员确保数据库中的数据安全性,而审计管理员负责执行数据库审计策略以监控和记录数据库活动,在数据库初始化完成后自动创建这3个用户。

KingbaseES安全版本支持将管理特权三权分立为DBA、SSO、SAO,用于解决数据库超级用户权力过度集中的问题,参考行政、立法、司法三权分立的原则来设计的安全管理机制。

        

1.1. 系统管理员(DBA)

  • 特级权限:负责数据库日常管理的各种操作和自主存取控制;
  • 审计权限:无法修改审计参数,无法定义审计策略,无法查看审计记录;
  • 安全权限:无法执行安全功能的操作。

        

1.2. 安全管理员(SSO)

  • 特级权限:负责强制访问规则的制订和管理,监督SAO和普通用户操作,无法创建和操作普通对象;
  • 审计权限:只能设置、删除对SAO和普通用户的审计策略,只能查看SAO和普通用户的审计结果记录;
  • 安全权限:可以开启安全参数,执行安全相关操作。

        

1.3. 审计管理员(SAO)

  • 特级权限:负责数据库的审计,监督DBA、SSO的操作,不能创建和操作普通对象;
  • 审计权限:可以开启审计参数,可以设置、删除对SSO和DBA的审计策略,只能查看SSO和DBA的审计结果记录;
  • 安全权限:无法执行安全功能的操作。

        

2. 用户管理

2.1. 查询用户信息

查询用户权限可以通过视图 sys_user 查看

SELECT * FROM sys_user;

  • usename:用户名
  • usesysid:用户ID
  • usecreatedb:创建数据库权限
  • usesuper:超级用户权限
  • userepl:开启流复制、将系统转入/转出备份模式权限
  • usebypassrls:绕过所有行级安全性策略权限
  • passwd:不是口令(显示*****)
  • valuntil:口令过期时间(只用于口令认证)
  • useconfig:运行时配置变量的会话默认值

        

2.2. 创建用户

创建用户最基础的用法:

CREATE USER 用户名 WITH PASSWORD '密码';
  • 由于没有授权,所以默认只有登录和操作表权限,无法创建库。

         

创建用户时赋予多种权限,直接写在with后面

CREATE USER 用户名 WITH [权限1] [权限2] [权限3]...;

比如赋予创建库、登录权限

CREATE USER u1 WITH CREATEDB LOGIN PASSWORD '123';

详细权限如下:

  • SUPERUSER:超级用户权限
  • CREATEDB:创建数据库权限
  • CREATEROLE:创建用户、角色权限
  • LOGIN:登录权限(默认开启)
  • REPLICATION:是否为复制角色
  • BYPASSRLS:安全测试RLS
  • SYSBACKUP:物理备份权限

如果不赋予该权限,在关键字前面加上 NO,比如创建用户u1没有物理备份权限

CREATE USER u1 WITH NOSYSBACKUP;

        

2.3. 修改用户

修改用户有如下限制:

  1. 系统管理员可以修改所有普通用户密码、权限;
  2. 普通用户只能修改自己的密码,不能修改其他用户;
  3. 安全管理员的密码只能自己修改;
  4. 审计管理员的密码只能自己修改。

修改用户密码

ALTER USER 用户名 PASSWORD '密码';

        

修改用户权限

ALTER USER 用户名 [权限1] [权限2];

比如修改用户 u1 权限为创建库、物理备份:

ALTER USER u1 CREATEDB SYSBACKUP;
  • SUPERUSER:超级用户权限
  • CREATEDB:创建数据库权限
  • CREATEROLE:创建用户、角色权限
  • LOGIN:登录权限(默认开启)
  • REPLICATION:是否为复制角色
  • BYPASSRLS:安全测试RLS
  • SYSBACKUP:物理备份权限

        

2.4. 删除用户

删除用户语法:

DROP USER 用户名;

        

如果被删除的用户在某个数据库中被引用,则无法被删除。比如用户 u1 创建了一张表,删除 u1 失败

通过如下方式删除当前库中关于某个用户的全部对象

DROP OWNED BY 用户名 CASCADE;

        

2.5. 用户资源限制

1、连接数限制

用户连接数受参数 connections_limit_per_user 影响:

  • on:启动用户连接数限制。超级用户默认限制连接数为8,普通用户为5;
  • off:关闭用户连接数限制。所有用户默认使用最大连接(受max_connections影响)。

创建用户时限制连接(connections_limit_per_user = on 有效):

CREATE USER 用户名 WITH CONNECTION LIMIT 连接数;
  • -1 表示无限制 

修改用户连接数限制

ALTER USER 用户名 CONNECTION LIMIT 连接数;

        

2、用户使用期限

限制后会在指定时间点后,角色口令自动失效

创建用户

CREATE USER 用户名 WITH VALID UNTIL '日期';

修改用户

ALTER USER 用户名 VALID UNTIL '日期';

        

3、用户连接期限

设置某个用户只能在 xxx 时间段能够连接

创建用户

--设置用户只能在08点到15点连接
CREATE USER 用户名 WITH CONNECTION INTERVALS '08:00:00 TO 15:00:00';

修改用户

--设置用户只能在08点到15点连接
ALTER USER 用户名 CONNECTION INTERVALS '08:00:00 TO 15:00:00';

一只勤劳的耗子
关注
  • 13
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#访问kingbasees数据库的DEMO,实现C#对国产金仓数据库的访问
10-17
在IT行业中,数据库是数据存储和管理的核心,而金仓数据库KingbaseES)作为一款国产的高性能关系型数据库管理系统,被广泛应用于政府、金融、电信等领域。C#作为.NET框架的主要开发语言,自然需要与各种数据库进行...
使用DBeaver客户端连接金仓KingbaseES数据库操作参考.pdf
09-02
使用 DBeaver 客户端连接 KingbaseES 数据库操作参考 以下是使用 DBeaver 客户端连接 KingbaseES 数据库操作的详细参考指南: 1. DBeaver 安装 DBeaver 是免费开源的连接数据库客户端工具,可以在官网 ...
KingbaseES 的角色和权限管理
lyu1026的博客
05-09 3261
KingbaseES使用角色的概念管理数据库访问权限。为了方便权限管理用户可以建立多个角色,对角色进行授权和权限回收,并把角色授予其他用户数据库初始化时,会创建一个超级用户的角色:system(默认,可修改)。 任何操作都是从该用户开始的。 创建角色 CREATE ROLE name [ [ WITH ] option [ ... ] ] where option可以是: SUPERU...
PostgreSQL学习手册(十四) 系统视图
weixin_34192993的博客
08-21 371
一、pg_tables:     该视图提供了对有关数据库中每个表的有用信息地访问。 名字 类型 引用 描述 schemaname name pg_namespace.nspname 包含表的模式名字。 tablename name pg_class.relname 表的名字。 tableowner name pg_aut...
PostgreSQL(02): PostgreSQL常用命令
IOsetting的专栏
01-06 1602
满足验证条件的用户, 可以用`psql`命令进入pg的命令行交互模式
数据库用户权限管理(一)
HighGO
01-31 6072
一个用户的权限可以分为两大类 一类是创建用户的时候指定的: 登录(login)[需要注意,user自带login权限,role不带] 创建用户、角色(createuser/role) 权限继承(inherit) 创建数据库(createdb) 超级用户(superuser) 等等 举例: highgo=# create role trole with createrole inh
Postgresql学习笔记之——使用createdb来创建数据库
qq_32838955的博客
03-01 2699
Postgresql数据库提供一种在shell下创建数据库的工具:createdb createdb不是特殊的工具,可以说它是数据库创建命令的整合工具。它连接到postgres数据库并发出CREATE database命令,与在进入Postgresql数据库中执行 CREATE DATABASE 是一样的。可以看作是脚本命令。 一、createdb语法: createdb [connection-...
基于Linux系统命令行安装KingbaseES数据库
最新发布
07-05
人大金仓通用性数据库(Kingbase)下载网址:https://www.kingbase.com.cn/xzzx/index.htm 选择“软件版本-数据库”,筛选条件Linux、完整版。找到需要的版本,点击下载。 具体步骤请看文档。
PG用户角色权限管理
qq_42266493的博客
09-10 2199
简介 用户(user):user是拥有login权限的role。 角色(role):role可以拥有数据库对象,并将拥有对象的权限赋予其他角色。 组(group):group是一个特殊的role,不拥有replication/noreplication、connection limit属性的role。 方式一:createuser -U postgres -p 5432 ROLERNAME --forwindows [postgres@pg1 49162]$ createuser janu1 -U post
KingbaseES系统权限介绍
weixin_46909925的博客
09-04 225
如果新的角色是其他角色的成员,这些子句决定新角色是否从那些角色中“继承”特权,把新角色作为成员的角色称为新角色的父角色。如果没有INHERIT,在另一个角色中的成员关系只会把SET ROLE 的能力授予给那个其他角色,只有在这样做后那个其他角色的特权才可用。一个具有REPLICATION 属性的角色是一个具有非常高特权的角色,并且只应被用于确实需要复制的角色上。如果指定了CREATEDB,被定义的角色将被允许创建新的数据库。这些子句决定一个角色是否被允许创建新的角色(也就是执行CREATE ROLE)。
关于PostgreSQL密码安全策略
sunny05296的博客
10-15 5407
关于PostgreSQL密码安全策略 1.加密存储策略 2.密码验证失败次数限制锁定和解锁策略 3.密码复杂度策略(弱密码、重复密码等) 4.密码有效期策略 查看 PostgreSQL 服务状态(查看BINDIR和PGDATA路径) systemctl status postgresql-12 加密存储 查看密码加密方式 show password_encryption; testdb01=# show password_encryption; password_encryption -----...
HighGo瀚高数据库用户密码安全策略
sunny05296的博客
10-15 2906
HighGo瀚高数据库用户密码安全策略 HigoGo默认创建的用户是有有效期的,默认只有5次失败重试和7天有效期 管理员登录 $ psql -U highgo -d highgo highgo=# 查看安全策略配置 highgo=# select show_secure_param(); show_secure_param --------------------------------------- hg_idcheck.pwdlock = 5 time...
PostgreSQL里面的一些命令小结
congbao6525的博客
03-28 267
近两天总结了下PostgreSQL的基本操作命令,对PostgreSQL也有了一个基本的认识。 PostgreSQL的功能还是很丰富的,有序列,支持db link,基本Oracle里有的概念它这里也有,目前来看...
人大金仓KingbaseES 函数和过程的 INVOKER 与 DEFINER
arthemis_14的博客
01-11 912
U01.TEST_default 和 U01.TEST_invoker 函数报错,不能在用户u03找到 t_user 表。U01.TEST_default 和 U01.TEST_invoker 函数报错,不能在用户u02找到 t_user 表。SELECT ON u01.t_user,需要赋权给普通用户用户U01创建函数,分别使用不同的AUTHID属性。用户U01创建函数,分别使用不同的AUTHID属性。用户U01创建函数,分别使用不同的权利属性。函数中,T_USER表名不含SCHEMA。
PostgreSQL注入总结(待完成)
qq_39764475的博客
04-06 6556
简介 PostgreSQL 是一个免费的对象-关系数据库服务器(ORDBMS),在灵活的BSD许可证下发行。 PostgreSQL 开发者把它念作 post-gress-Q-L。 PostgreSQL 的 Slogan 是 “世界上最先进的开源关系型数据库”。 参考内容:PostgreSQL 10.1 手册 基本使用 1.createdb 命令创建数据库 createdb 是一个 SQL 命令 CREATE DATABASE 的封装。 createdb 命令语法格式如下: createdb [option.
Kingbase命令
m0_38111646的博客
02-09 9355
#建立超级用户及密码create user "ZHJX" with superuser password '123456';#删除用户    drop user ZHJX;#查看所有用户                                         \du #查看所有数据库列表                                               \l  #...
KINGBASE人大金仓数据库安装配置手册
qq_40907977的博客
02-18 5293
1、上传安装包 安装包和license文件上传到/home/setup/kingbase目录 2、操作系统配置 关闭防火墙 中标麒麟: systemctl stop firewalld systemctl disabled firewalld 银河麒麟: service iptables stop 3、安装数据库 创建数据库安装用户: groupadd kingbase useradd kingbase -m -g kingbase passwd kingbase (按照客户要求修改密码,默认kingb
kingbaseES 数据库命令连接
06-08
如果您是通过命令行连接 KingbaseES 数据库,需要先确保已经安装了 KingbaseES 数据库,并且已经配置好了环境变量。然后,您可以按照以下步骤连接 KingbaseES 数据库: 1. 打开命令行窗口。 2. 输入以下命令连接数据库: ``` kclient -h <hostname> -p <port> -d <database> -u <username> -w <password> ``` 其中,`<hostname>` 是数据库服务器的主机名或 IP 地址,`<port>` 是数据库服务器的端口号,`<database>` 是要连接的数据库名称,`<username>` 是数据库用户名,`<password>` 是数据库的密码。 例如,如果要连接主机名为 `localhost`、端口号为 `54321`、数据库名称为 `test`、用户名为 `username`、密码为 `password` 的 KingbaseES 数据库,可以输入以下命令: ``` kclient -h localhost -p 54321 -d test -u username -w password ``` 3. 如果连接成功,会显示类似以下信息: ``` KingbaseES SQL Command Line Tool Type "help" for help. Connected to KingbaseES server version 8.2.0 KingbaseES > ``` 此时您已经成功连接到 KingbaseES 数据库,可以执行 SQL 命令进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值