[FOSSGIS-Talk] Default privileges PostgreSQL für Gruppen
Felix Kunde
felix-kunde at gmx.de
Di Okt 17 18:23:45 CEST 2023
Hi Florian,
ich habe mich auch schon mal darüber geärgert, dass DEFAULT ACCESS PRIVILEGES einer Gruppenrolle nicht vererbt werden und man zum Anlegen von Tabellen immer auf die Gruppenrolle wechseln müsste (SET ROLE). Ich nehme an, eure Nutzer können nicht einfach die Gruppenrolle verwenden, oder? :) Und man legt die Relationen aus einem GIS heraus an? Nicht via SQL? (ich hatte noch die Idee ein zentrales Schema-Migrations-Tool wie flyway zu nutzen was dann immer die Rolle mit den default rechten verwendet).
Ansonsten musste du für jeden Benutzer DEFAULT ACCESS PRIVILEGES definieren, die dann Lesen (/Schreiben) für die Gruppenrolle ermöglichen von der wiederum alle Mitarbeiter die Rechte erben.
Ggf. wäre auch eine von Postgres vor-definierte Rolle interessant, um zumindest das Lesen auf alle Objekte zu ermöglichen: https://www.postgresql.org/docs/current/predefined-roles.html
Grüße
Felix
Gesendet: Freitag, 13. Oktober 2023 um 11:29 Uhr
Von: "Florian Hoedt" <florian.hoedt at thuenen.de>
An: fossgis-talk-liste at fossgis.de
Betreff: [FOSSGIS-Talk] Default privileges PostgreSQL für Gruppen
Hallo liebe Liste,
Entschuldigung für nochmaliges posten. Beim ersten mal wurde aus versehen ein Haufen HTML Quatsch mitgesendet und die Nachricht dadurch unbrauchbar. Entschuldigung auch dafür.
In einem Projekt sollen alle User in bestimmten Schemata lesen und schreiben können. Zudem sollen in den Schemata vom jeweiligen User erstellte neue Tabellen und views auch gleich für alle Mitglieder der Gruppe freigegeben werden.
Default privileges sind aber Rollen gebunden und können nicht insgesamt auf ein schema vergeben werden [1]. Unsere User nutzen ihre eigenen login Rollen in den Client Anwendungen (qgis, Python, r) und können nicht 'einfach' auf die Gruppen Rolle switchen - zumindest kenne ich adhoc keinen Weg dies einfach zu tun. Entsprechend müsste wir jedem User diese Rechte zuweisen, was aufwändig nachzupflegen ist (zusätzlich zur Gruppen Zugehörigkeit).
Wie geht ihr mit solchen Use Cases um?
LG Florian
[1] https://www.cybertec-postgresql.com/en/postgresql-alter-default-privileges-permissions-explained/
--
MSc Florian Hoedt
Head Research Data Management | OpenData Representative
Thünen Institute, Centre for Information Management
Bundesallee 44
38116 Braunschweig
Tel: +49 531 596-1428 | Mobile: +49 162 92 50 275
Fax: +49 531 596-1499
Mail: florian.hoedt at thuenen.de
Web: www.thuenen.de[http://www.thuenen.de]
The Johann Heinrich von Thünen Institute, Federal Research Institute for Rural Areas, Forestry and Fisheries – Thünen Institute in brief – consists of 15 specialized institutes with socioeconomic, ecological and technological expertise. The Thünen Institute conducts research and policy advice related to rural areas, agriculture, forests and fisheries.
--
....................................................................
FOSSGIS-Konferenz 2024 mit OpenStreetMap-Event in Hamburg!
20.-23. März 2024 an der TUHH - https://www.fossgis-konferenz.de/[https://www.fossgis-konferenz.de/]
FOSSGIS Vereinstermine:
https://fossgis.de/aktivit%C3%A4ten/termine/[https://fossgis.de/aktivit%C3%A4ten/termine/]
FOSSGIS e.V, der Verein zur Förderung von Freier Software aus dem
GIS-Bereich und Freier Geodaten!
https://www.fossgis.de/[https://www.fossgis.de/] https://mastodon.online/@FOSSGISeV
https://twitter.com/FOSSGIS_Verein
____________________________________________________________________
FOSSGIS-Talk-Liste mailing list
FOSSGIS-Talk-Liste at fossgis.de
https://lists.fossgis.de/mailman/listinfo/fossgis-talk-liste[https://lists.fossgis.de/mailman/listinfo/fossgis-talk-liste]
Mehr Informationen über die Mailingliste FOSSGIS-Talk-Liste