个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
对于不耐烦的人——我可以将这个问题总结为:
What practical approach can be used to leverage role-based privileges in PostgreSQL when using an Access Front End that employs ODBC linked-tables?
现在是更长的版本:
我接手了将 Access 2000/PG 7 应用程序升级到 Access 2013/PG 9 的艰巨任务。我是 PostgreSQL 的新手,但经常使用 Oracle 和 Microsoft Access。
编辑:生产服务器在 Mac OS X Lion 上运行 PostgreSQL。我的测试机在 Oracle Linux 7 上运行 PostgreSQL。
此 Access DB 通过 ODBC 链接到 PG 数据库中的表,使用单个 PG 登录角色(application_user)进行连接。每个用户都与这个登录角色连接,限制用户权限的只是Forms/VBA中的条件。但是,如果用户可以进入导航 Pane - 他们可以直接 Access 链接表并绕过所有安全限制。在升级此数据库时,我想看看是否可以收紧它。
我可以在 PostgreSQL 上为每个用户设置他们自己的登录角色,但这意味着(从我的角度来看)对数据库进行大量重组。我不想对生产数据库进行如此大的更改 - 更需要增量更改。
查看数据库的安全需求 - 我可以想到只需要五个角色。
我可以在 PGSQL 中将这些设置为组角色,并且每个表都为每个角色设置必要的 ACL。
我缺少的是如何从单一登录角色 (application_user) 转变为上述所有角色?
我最初的想法是将 application_user(登录角色)设置为没有组角色(基本上导致 “未授权 - 无 Access 权”),然后调用 PL/pgSQL 函数 authorize(Username, MD5PassWord) 来授权和提升角色。该函数将检查提供的 MD5 哈希值是否与存储在用户表中的 MD5 哈希值匹配 - 如果匹配 - 它会为适当的组角色发出 SET SESSION ROLE。
如果这可行,它会让我跟踪登录的用户名,然后使用 pg_backend_pid() 函数,我可以将它与用户关联起来业务逻辑或日志记录或其他任何东西。这也意味着如果某些用户进入链接表,我不必担心 - 因为他们的 Access 将受到他们当前在该数据库 session 中被授权的任何角色的限制。
所以我创建了一个 plpgsql 脚本,将它的所有者设置为 OrderCustomerEntryGroup 并赋予它 SECURITY DEFINER 权限。
DECLARE
v_Status integer;
BEGIN
v_Status := 0;
IF pin_username = 'username' AND MD5('foo') = pin_pwmd5 THEN
SET SESSION AUTHORIZATION OrderEntryGroup;
v_Status := 1;
END IF;
RETURN v_Status;
END;
但是我的实现唯一的问题是
SELECT authenticate('username',MD5('foo'));
给出:
ERROR: cannot set parameter "session_authorization" within security-definer function
SQL state: 42501
Context: SQL statement "SET SESSION AUTHORIZATION OrderEntryGroup"
PL/pgSQL function authenticate(character varying,text) line 7 at SQL statement
所以我仔细阅读了这个 - 据我所知,你曾经能够做到这一点,但无论出于何种原因它被删除了。除了在每个用户级别使用内置角色外,我还没有找到替代方案。
所以我要问的是..我缺少什么来使我的方法(一个简单的解决方案)起作用,或者是否有更好的方法来做到这一点这不会涉及撕裂现有的 Access 数据库吗?
最佳答案
如果您想限制直接连接对数据库的 Access ,那么无论如何您都需要在后端进行一定数量的“重组”。最好的方法几乎总是让每个用户使用他们自己的凭据连接,然后根据他们在数据库中所属的组(有时称为“角色”)限制该用户可以执行的操作。
如果您想避免为每个网络用户设置单独的数据库用户 ID/密码,那么您应该研究使用集成 Windows 身份验证 (SSPI),如另一个问题中所述 here .您仍然需要在数据库级别定义用户(除了组/角色),但无论如何您都必须完成大部分工作。
关于使用 Access ODBC 链接表的 PostgreSQL 授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33096878/
25
4
0
我的 postgresql 有问题,我复制了所有文件,然后将其删除。然后,我安装了新的,问题就解决了。现在可以将旧文件和文件导入新文件吗? 最佳答案 如果它们是相同的主要版本(即 9.0 到 9.0.
我想使用 Postgresql 9.2.2 来存储我的应用程序的数据。我不得不构建一个应该基于数据库级别的触发器(当数据库启动时,这个触发器将被触发并执行。),当 postgresql 服务器启动时是
我已经使用下面的查询从 Postgresql 目录表中获取 Sequence 对象的完整信息 select s.sequence_name, s.start_value, s.minimum_valu
Postgres 版本:9.3.4 我需要执行驻留在远程数据库中的函数。该函数根据给定的参数返回一个统计数据表。 我实际上只是在我的本地数据库中镜像该函数,以使用我的数据库角色和授权来锁定对该函数的访
我在 CentOS 7 上,我正在尝试解决“PG::ConnectionBad: FATAL: Peer authentication failed for user”错误。 所以我已经想出我应该更改
我写了一个触发器函数,在触发器表列名上循环,我从具有不同列的不同表调用该函数。该函数将列名插入到数组中并在它们上循环,以便将值插入到另一个模式和表中。 函数和触发器创建脚本: DROP TRIGGER
PostgreSQL 的默认空闲连接超时是多少,我运行了 show idle_in_transaction_session_timeout 查询并返回了 0,但是值 0 表示此选项被禁用,但我想知道默
我需要将十六进制值存储到数据库表中,谁能推荐我需要用于属性的数据类型? 提前致谢 最佳答案 您可以使用bytea 来存储十六进制格式。更多信息 can be found in the postgres
我有一个具有复合主键的(大)表,由 5 列(a、b、c、d、e)组成。 我想高效地选择具有其中两列 (a + e) 的所有行到给定值。 在 PostgreSQL 中,我需要索引吗?或者数据库会使用主键
在阅读 PostreSQL (13) 文档时,我遇到了 this页面,其中列出了不同日期时间类型的存储大小。 除其他外,它指出: Name Storag
我有两个大整数的巨大表(500 000 000 行)。两列都被单独索引。我正在使用语法批量插入此表: INSERT into table (col1, col2) VALUES(x0, y0), (x
有一台 CentOS7 Linux 机器正在运行(不是由我管理;拥有有限的权限)。 请求在其中设置 PostgreSQL。 刚刚从 CentOS 存储库安装了 PostgreSQL: sudo yum
我在 Ubuntu 18.04 上安装了 Postgresql 10,但不知何故坏了,不会重新启动。我可以重新安装它而不破坏它的数据库,以便我可以再次访问数据库吗? pg_dump 不起作用。 最佳答
我想在 UNIX 中使用 crontab 自动备份 PostgreSQL 数据库。我已经尝试过,但它会创建 0 字节备份。 我的 crontab 条目是: 24 * * * * /home/desk
我已经完成了PG服务器的安装。我希望能够使用 pgAdmin 远程连接到它,但不断收到服务器不听错误。 could not connect to server: Connection refused
Oracle 支持波斯历但需要知道 PostgreSQL 是否支持波斯历? 如果是,那么我们如何在 PostgreSQL 中将默认日历类型设置为 Persian 而不是 Gregorian(在 Ora
假设我们有一个带有表的 SQL 数据库 Person以及访问它的几个应用程序。出于某种原因,我们想修改 Person表以向后不兼容的方式。 保持兼容性的一种潜在解决方案是将表重命名为 User并创建一
我使用 PostgreSQL 中的模式来组织我庞大的会计数据库。每年年底,我都会通过为下一年创建一个新模式来进行协调过程。 新模式的文件是否与旧模式物理分离?或者所有模式一起存储在硬盘上? 这对我来说
我正在尝试使用配置文件中的以下配置参数调整 PostgreSQL 服务器: autovacuum_freeze_max_age = 500000000 autovacuum_max_workers =
我的数据包含数据库列中的表情符号,即 message_text ------- 🙂 😀 Hi 😀 我只想查询包含表情符号的数据的行。在 postgres 中是否有一种简单的方法可以做到这一点?
我是一名优秀的程序员,十分优秀!