|
Ouverture de session
Navigation
Contactez-nous
Administration du site :
"equipe chez postgresqlfr point org"
Contact presse :
"fr chez postgresql point org"
Contact association :
"bureau chez postgresqlfr point org"
Questions PostgreSQL :
IRC :
serveur irc.freenode.net
canal #postgresqlfr
Recherche
Sujets du forum
Sujets actifs
Nouveaux sujets:
Syndication
Sondage
PostgreSQL 8.3.1 REVOKE, SET ROLE, BUG?
Technique - général | PostgreSQL 8.3.1 REVOKE, SET ROLE, BUG?
Par MonnierEric le 26/05/2008 - 14:50
Bonjour,
J'utilise PostgreSQL 8.3.1 sur Windows XP
Je dois supprimer une liste d’utilisateurs.
Contexte :
- Un utilisateur peut avoir accordé des droits à d'autres utilisateurs sur ses propres objets.
- Un utilisateur peut avoir accordé un droit de transmission (GRANT OPTION).
- Ce phénomène est réaliste car il s'agit de bases de données utilisées à des fins pédagogiques.
Avant d'écrire le script ad hoc, j'ai fait quelques tests pour m'assurer que la suppression des droits accordés était possible :
- C'est le super utilisateur postgres qui retire les droits accordés avant la suppression des objets.
- Lorsqu'un droit a été transmis indirectement via la clause GRANT OPTION, postgres n'arrive pas à le retirer.
Le message semble indiquer que la commande a été correctement exécutée mais en réalité le droit n'est pas retiré. POURQUOI?
Pourtant, la documentation précise : " Si un superutilisateur choisit d'exécuter une commande GRANT ou REVOKE, la commande est exécutée comme si elle était lancée par le propriétaire de l'objet affecté"
Donc, il me semble que la suppression par postgres, d'un droit transmis indirectement devrait être possible.
La méthode consistant à exécuter préalablement un SET ROLE fonctionne mais n'est pas idéale dans le contexte de mon développement.
Pouvez-vous me dire pourquoi le super utilisateur postgres ne peut pas retirer tous les types de droits accordés, quel que soit le moyen utilisé (ex. clause WITH GRANT OPTION) ?
Par avance, merci de votre réponse.
Eric Monnier
Un exemple valant mille mots :
--------------- Postgres ---------------
CREATE ROLE "UserA" LOGIN
PASSWORD 'UserA'
NOSUPERUSER NOINHERIT NOCREATEDB NOCREATEROLE;
CREATE ROLE "UserB" LOGIN
PASSWORD 'UserB'
NOSUPERUSER NOINHERIT NOCREATEDB NOCREATEROLE;
CREATE ROLE "UserC" LOGIN
PASSWORD 'UserC'
NOSUPERUSER NOINHERIT NOCREATEDB NOCREATEROLE;
CREATE SCHEMA "UserA"
AUTHORIZATION "UserA";
CREATE SCHEMA "UserB"
AUTHORIZATION "UserB";
CREATE SCHEMA "UserC"
AUTHORIZATION "UserC";
--------------- UserA ---------------
CREATE TABLE "UserA"."tableUserA"
(
"Numero" integer,
"Nom" character varying,
"Prenom" character varying,
CONSTRAINT "Pk_tableUserA" PRIMARY KEY ("Numero")
);
GRANT USAGE ON SCHEMA "UserA" TO "UserB";
GRANT USAGE ON SCHEMA "UserA" TO "UserC";
GRANT ALL ON TABLE "UserA"."tableUserA" TO "UserB" WITH GRANT OPTION;
--------------- UserB ---------------
GRANT ALL ON TABLE "UserA"."tableUserA" TO "UserC" WITH GRANT OPTION;
--------------- Super Utilisateur postgres ---------------
-- extrait de pg_class avant le REVOKE
relname | relacl
-----------+-----------------------------------------------------------------------
tableUserA | {UserA=arwdxt/UserA,UserB=a*r*w*d*x*t*/UserA,UserC=a*r*w*d*x*t*/UserB}
REVOKE ALL ON TABLE "UserA"."tableUserA" FROM "UserC";
Query returned successfully with no result in 31 ms.
extrait de pg_class après le REVOKE
relname | relacl
-----------+-----------------------------------------------------------------------
tableUserA | {UserA=arwdxt/UserA,UserB=a*r*w*d*x*t*/UserA,UserC=a*r*w*d*x*t*/UserB}
-- aucun droit n’a été supprimer.