Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveurs:installation:db-srv:postgresql-ssh-tunnel [2021/10/13 10:42] – [Configuration de l'accès avec DBeaver] jpmilcent
+++ serveurs:installation:db-srv:postgresql-ssh-tunnel [2023/10/31 09:06] (Version actuelle) – [Création de l'utilisateur et définition des droits] jpmilcent
@@ Ligne 42: / Ligne 42: @@
   * Se connecter à la base avec un compte superadmin : '' psql -h "localhost" -U "admin" -d "geonature2db" ''
-  * Exécuter les requêtes suivantes :<code sql>
+  * Pour attribuer les droits de lecture seule à un utilisateur, si les droits ont été révoqué sur le schéma ''public'' des bases de données, il suffit depuis Postgresql 14 d’attribuer l'utilisateur lecteur au rôle par défaut ''pg_read_all_data'' et d'autoriser sa connexion à la base. Exécuter les requêtes suivantes :<code sql>
 -- Créer l'utilisateur "gnreader"
 CREATE USER gnreader WITH ENCRYPTED PASSWORD '<mot-de-passe>' ;
@@ Ligne 49: / Ligne 49: @@
 GRANT CONNECT ON DATABASE geonature2db TO gnreader ;
 GRANT CONNECT ON DATABASE gnatlas TO gnreader ;
+-- Associer l'utilisateur gnreader au rôle par défaut pg_read_all_data
+GRANT pg_read_all_data TO gnreader;
 </code>
+    * Pour révoquer les droits d'accès en lecture seule à une base de données : <code sql>REVOKE CONNECT ON DATABASE <nom-base> FROM <nom-utilisateur-lecteur>;</code>
-=== Base "geonature2db" ===
+=== 🗑️ Base "geonature2db" (avant Postgresql 14) ===
   * Se connecter à la base "//geonature2db//" avec un compte superadmin : '' psql -h "localhost" -U "admin" -d "geonature2db" ''
   * Exécuter les requêtes suivantes :<code sql>
@@ Ligne 80: / Ligne 84: @@
 -- Ajouter l'accès en lecture sur les futures tables :
 -- Réutiliser la requête précédente et remplacer la première et la dernière ligne :
-ALTER DEFAULT PRIVILEGES FOR USER geonatadmin IN SCHEMA
+ALTER DEFAULT PRIVILEGES FOR USER gnreader IN SCHEMA
 pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, gn_commons, gn_exports, gn_imports, gn_meta, gn_monitoring, gn_permissions, gn_sensitivity, gn_synthese, ref_geo, ref_habitats, ref_nomenclatures, taxonomie, utilisateurs
     GRANT SELECT ON TABLES TO gnreader ;
@@ Ligne 86: / Ligne 90: @@
 -- Ajouter l'accès en lecture sur les futures sequences :
 -- Réutiliser la requête précédente et remplacer la dernière ligne :
-ALTER DEFAULT PRIVILEGES FOR USER geonatadmin IN SCHEMA
+ALTER DEFAULT PRIVILEGES FOR USER gnreader IN SCHEMA
 pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, gn_commons, gn_exports, gn_imports, gn_meta, gn_monitoring, gn_permissions, gn_sensitivity, gn_synthese, ref_geo, ref_habitats, ref_nomenclatures, taxonomie, utilisateurs
     GRANT SELECT ON SEQUENCES TO gnreader ;
 </code>
-=== Base "gnatlas" ===
+=== 🗑️ Base "gnatlas" (avant Postgresql 14) ===
   * Se connecter à la base avec un compte superadmin : '' psql -h "localhost" -U "admin" -d "gnatlas" ''
   * Exécuter les requêtes suivantes :<code sql>
@@ Ligne 120: / Ligne 124: @@
 -- Ajouter l'accès en lecture sur les futures tables :
 -- Réutiliser la requête précédente et remplacer la première et la dernière ligne :
-ALTER DEFAULT PRIVILEGES FOR USER geonatadmin IN SCHEMA
+ALTER DEFAULT PRIVILEGES FOR USER gnreader IN SCHEMA
 pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, taxonomie, synthese, ref_geo, atlas, pg_temp_22, pg_toast_temp_22, pg_temp_24, pg_toast_temp_24, pg_temp_45, pg_toast_temp_45, pg_temp_37, pg_toast_temp_37
     GRANT SELECT ON TABLES TO gnreader ;
@@ Ligne 126: / Ligne 130: @@
 -- Ajouter l'accès en lecture sur les futures sequences :
 -- Réutiliser la requête précédente et remplacer la dernière ligne :
-ALTER DEFAULT PRIVILEGES FOR USER geonatadmin IN SCHEMA
+ALTER DEFAULT PRIVILEGES FOR USER gnreader IN SCHEMA
 pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, taxonomie, synthese, ref_geo, atlas, pg_temp_22, pg_toast_temp_22, pg_temp_24, pg_toast_temp_24, pg_temp_45, pg_toast_temp_45, pg_temp_37, pg_toast_temp_37
     GRANT SELECT ON SEQUENCES TO gnreader ;
@@ Ligne 137: / Ligne 141: @@
 CREATE USER MAPPING FOR gnreader SERVER geonaturedbserver OPTIONS (user 'gnreader', password '<mot-de-passe-de-gnreader>');
 </code>
+=== Ajout d'un espace permetant la création de table/VM pour gnreader ===
+//gnreader// est un utilisateur en lecture seule sur les schémas de GeoNature mais nous lui créons un schéma où il aura un accès en écriture.
+Cela permettra la création de table ou VM pour des requêtes d'extraction sur les tables de GeoNature.
+<code sql>
+-- Création du schéma "playground"
+CREATE SCHEMA playground AUTHORIZATION geonatadmin;
+-- Ajout des droits d'écriture sur schéma à l'utilisateur gnreader
+GRANT USAGE, CREATE ON SCHEMA playground TO gnreader;
+</code>
 ==== Modification des autorisations d'accès au serveur Postgresql ====
@@ Ligne 142: / Ligne 161: @@
     * Ajouter le contenu suivant : <code properties>
 # GeoNature : access by gnreader (read only)
-host    geonature2db    gnreader        10.0.1.20/32            md5
+host    geonature2db    gnreader        10.0.1.20/32            scram-sha-256
-host    gnatlas         gnreader        10.0.1.20/32            md5
+host    gnatlas         gnreader        10.0.1.20/32            scram-sha-256
 </code>
   * Recharger la configuration //Postgresql// : '' systemctl reload postgresql ''