人大金仓:用户 + 权限 + 所属角色

于 2025-06-23 18:26:03 发布
阅读量967 收藏 21
点赞数 19
CC 4.0 BY-SA版权
分类专栏: PG 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hezuijiudexiaobai/article/details/148851775

目录标题

sys_roles

在这里插入图片描述
在这里插入图片描述
执行改成基于 sys_roles 的查询后,结果中确实多出了许多额外的角色,比如:

  • pg_monitor
  • pg_read_all_stats
  • pg_write_server_files
  • pg_signal_backend
  • 等等

这些在原始的 sys_user 查询中是看不到的

✅ 原因说明:这些是系统内置角色

KingbaseES(兼容 PostgreSQL)中存在一系列内置角色(system predefined roles),这些角色:

角色名用途简述
pg_monitor允许查询系统状态监控视图
pg_read_all_settings允许读取数据库配置参数
pg_read_all_stats允许读取系统统计信息
pg_write_server_files允许使用 COPY TO/FROM FILE
pg_signal_backend允许对其他进程发送信号
pg_stat_scan_tables允许执行 ANALYZE 等统计操作
pg_execute_server_program允许执行外部程序(高权限)

这些角色通常不能登录(can_login = f,而是设计成赋予其他用户权限的机制,比如你可以执行:

GRANT pg_monitor TO qmonitor;

来让 qmonitor 拥有对 pg_stat_activity 的访问权限。

🧩 如何只筛选“用户角色”而排除这些系统角色?

你可以加上如下过滤条件:

WHERE r.rolcanlogin = true

这样只保留可登录的用户,排除掉系统定义的“服务型角色”。

✅ 最终推荐查询语句(仅看可登录用户 + 角色关系)

SELECT
    r.oid            AS role_id,
    r.rolname        AS role_name,
    r.rolsuper       AS is_superuser,
    r.rolcreatedb    AS can_create_db,
    r.rolcanlogin    AS can_login,
    m.member         AS member_sysid,
    u.usename        AS member_name
FROM
    sys_roles r
LEFT JOIN
    sys_auth_members m ON r.oid = m.roleid
LEFT JOIN
    sys_user u ON m.member = u.usesysid
WHERE
    r.rolcanlogin = true
ORDER BY
    role_name;

🧠 结语

  • 使用 sys_user → 看登录用户;
  • 使用 sys_roles → 看所有角色(含系统角色);
  • 要清爽排除内置角色 → 加 WHERE r.rolcanlogin = true
  • 要分析用户属于哪些权限组 → 查 sys_auth_members

sys_user

在这里插入图片描述
在这里插入图片描述

问题是:esrep 用户在 \du+ 命令中存在,但在你执行的 SQL 查询结果中没有显示出来。这是一个常见的查询遗漏问题,下面详细解释原因及解决方法。

🎯 问题原因:sys_user 表中不包含角色用户(如 esrep)

Kingbase(类似 PostgreSQL)中,用户和角色的系统信息分别保存在不同的系统视图中:

  • sys_user:只列出具有登录权限的用户(即 login 角色)
  • sys_roles:包含所有角色和用户,包括不能登录的角色(如纯角色组);
  • \du\dg:显示的是 sys_roles 里的内容(过滤部分信息)。

👀 esrep 可能是一个角色,而不是传统意义上的“用户”,比如它被用作复制账号,但没有明确登录权限。

✅ 修复方式:改为基于 sys_roles 查询所有角色+权限

下面是替代查询语句,用于显示系统中**所有角色(含用户)**的信息:

SELECT
    r.oid            AS role_id,
    r.rolname        AS role_name,
    r.rolsuper       AS is_superuser,
    r.rolcreatedb    AS can_create_db,
    r.rolcanlogin    AS can_login,
    m.member         AS member_sysid,
    u.usename        AS member_name
FROM
    sys_roles r
LEFT JOIN
    sys_auth_members m ON r.oid = m.roleid
LEFT JOIN
    sys_user u ON m.member = u.usesysid
ORDER BY
    role_name;

📌 字段说明

字段名含义
role_id角色/用户的系统 ID
role_name角色或用户名(都在这里)
is_superuser是否是超级用户
can_create_db是否可创建数据库
can_login是否可以登录(用户才为 T)
member_name属于该角色的用户(如有)

✅ 快速验证 esrep 是不是不能登录的角色

SELECT rolname, rolcanlogin FROM sys_roles WHERE rolname = 'esrep';

如果 rolcanlogin = false,说明它只是个系统角色,不在 sys_user 中,自然不会出现在你原来的查询里。

📌 总结

查询方式是否能查到 esrep
sys_user❌ 否(只查登录用户)
sys_roles✅ 是(查所有角色)
\du+✅ 是(等价于 sys_roles)
sys_roles.rolcanlogin可判断是否为登录用户

人大金仓:用户 + 权限 + 所属角色

以下是 人大金仓(KingbaseES)数据库中,查看“用户 + 权限 + 所属角色”一体化信息的通用查询方式,便于你掌握系统中有哪些用户、具有什么权限、属于哪些角色组:

✅ 一体化查询语句(推荐)

在这里插入图片描述

SELECT
    u.usesysid            AS user_id,
    u.usename             AS username,
    u.usesuper            AS is_superuser,
    u.usecreatedb         AS can_create_db,
    u.valuntil            AS password_expire,
    r.rolname             AS member_of_role,
    r.rolsuper            AS role_is_superuser,
    r.rolcreatedb         AS role_can_create_db
FROM
    sys_user u
LEFT JOIN
    sys_auth_members m ON u.usesysid = m.member
LEFT JOIN
    sys_roles r ON m.roleid = r.oid
ORDER BY
    username;

📌 字段说明

字段名含义
user_id用户系统 ID
username用户名
is_superuser是否是超级用户(t / f
can_create_db是否可创建数据库
password_expire密码有效期(为空则无过期限制)
member_of_role所属角色名(若为空表示无角色成员关系)
role_is_superuser所属角色是否是超级角色
role_can_create_db所属角色是否能建库

📌 示例输出(模拟结果)

user_idusernameis_superusercan_create_dbpassword_expiremember_of_rolerole_is_superuserrole_can_create_db
10rdsadmintt
11appuserff2025-12-31readonly_groupff
12dbuserftdba_grouptt

🧠 小贴士

  • 如果一个用户属于多个角色,会显示多行;
  • 若要查看某角色下有哪些成员,也可以反过来查询 sys_auth_members.membersys_roles.rolname
  • 如果你使用的是 KingbaseES >= V8.6,部分系统表名可能是 pg_user / pg_roles 等兼容名,但建议使用 sys_ 开头的系统表更稳定。

是否需要我进一步封装为可复用的查询函数或导出脚本?

人大金仓数据库SQL之KES获取用户组成员信息
arthemis_14的博客
01-19 623
KES中用户组成员的oid以数组的形式存储在视图sys_usergroup中、成员的详细信息存储于系统表sys_ authid中。现需求如下:执行一次查询,获取指定用户组的成员的详细信息。分析:可以通过sys_usergroup视图获取指定用户组的成员oid,再根据获取到的成员oid到系统表sys_ authid中获取成员的详细信息。难点:用户组成员的oid以数组的形式存储在视图sys_usergroup中,联立查询时如何处理成员oid数组?解决:通过函数UNNEST和函数ANY解决。
适配人大金仓数据库报sys_user表错误的问题
liochaoo的专栏
03-18 3138
人大金仓系统的用户表叫 ”sys_user“,与应用程序的用户表同名了,导致应用程序适配人大金仓数据库时,报了一些奇怪的错误,经过一番研究,最终解决了问题。
人大金仓(kes)访问控制
weixin_55327195的博客
12-14 1087
1、数据库管理员:用户名和密码由初始化时设定,通常用户名指定为system。主要负责执行数据库日常管理的各种操作和自主存取控制。2、安全管理员:用户名默认为sso,主要负责强制访问规则的制定和管理,监督审计管理员和普通用户的操作,不能创建和操作普通对象。3、审计管理员:用户名默认为sao,主要负责数据库的审计,监督系统管理员和安全管理员的操作,不能创建和操作普通对象。注释:不存在多余、过期及共享的账户。4、其余四个用户为普通业务用户
人大金仓分析型数据库角色权限管理(一)
qq_27889005的博客
09-24 941
数据库授权机制存储访问数据库数据库对象的角色权限, 并使用SQL语句或命令行实用程序进行管理。角色的概念包含用户和组的概念。一个角色可以是一个数据库用户、一个数据库组或者两者间距。角色可以拥有数据库对象(例如表),并可以将这些对象上的 权限赋予其他角色,依此来控制对对象的访问。角色可以是其他角色的成员,因此成员角色可以继承其父角色的对象权限。每个数据库系统都包含一组数据库角色用户和组)。这些角色与运行服务器的操作系统管理的用户和组相互独立。
人大金仓数据库对象访问权限
码云仓库地址:https://gitee.com/lance-gyq
01-23 5467
数据库的表、索引、视图等,在数据库中的一切都可以称为数据库对象。\l\dn+以表为例\dpgrant 权限 on 模式.表名 to 授权用户 with grant option;\dt+ 表名alter table 模式.表名 owner to 用户名;DROPGRANTREVOKE等特殊权限总是隐式地属于拥有者,不能直接查询到这些权限信息,也不能被授予或撤销。revoke ALL on 模式.表 from 用户;grant 权限 on 模式.表 to 用户;然后重新查询表的权限
金仓数据库-用户角色&对象权限访问的查看
永远都没有了
12-27 989
笔记
人大金仓分析型数据库角色权限管理(二)
qq_27889005的博客
09-24 1129
对于大多数类型的对象,初始状态是只有所有者(或超级用户)可以对该对象执行任何操作。尽管不被推荐,但密码可以以明文形式保存在数据库中,通过UNENCRYPTED命令关键词, 或者将password_encryption配置变量参数设置为off。这为敏感数据增加了额外的保护层, 没有加密密钥,任何人都无法读取以加密形式存储在数据库中的数据,也无法直接从磁盘读取数据。命令 用于管理已弃用角色所拥有的对象(注意:只有对象的所有者或超级用户才能删除对象或重新分配所有权)。函数,在每个要使用此函数的数据库中,注册。
人大金仓数据库用户使用手册
01-30
包括kingbase数据库安装、快速入门、系统管理、高级管理、sql语法参考以及开发指南(jdbc、odbc等)
linux人大金仓数据库删除超级用户权限
最新发布
07-12
在Linux系统中使用人大金仓(Kingbase)数据库删除超级用户权限,涉及两个层面的操作:一是数据库层面的用户权限管理,二是Linux操作系统层面的文件或系统权限配置。以下将分别从这两个方面进行说明。 ### 一、...
WTM的项目中EFCore如何适配人大金仓数据库
kfashfasf的博客
07-09 1272
WalkingTec.Mvvm框架(简称WTM)最早开发与2013年,基于Asp.net MVC3 和 最早的Entity Framework, 当初主要是为了解决公司内部开发效率低,代码风格不统一的问题。2017年9月,将代码移植到了.Net Core上,并进行了深度优化和重构,推出了基于Asp.net Core和EF Core的全新框架,新框架在架构,稳定性,速度上都有长足进步,真正成为一款高效开发的利器。经历了四年间数十个项目的考验,框架逐步的完善,推出了四个主要版本。
创建表空间、创建用户以及授权、查看权限
06-04
创建表空间、创建用户以及授权、查看权限 创建表空间、创建用户以及授权、查看权限
人大金仓数据库赛道题库
caoxuan666的博客
01-20 3568
1.21就是比赛时间啦,考前一天更新题库,顺便记一记题目,祝参加的同学都能取得不错的成绩正确答案的选项才会输入,主要是懒得打,有选择和判断两种题型实在是不想打了,题目300道(本文表格都准备了这么长)是我在金仓MS那里的题目视频一道一道截屏截下来的,本想着一道道打字打上去,(因为转文字根本不对)但是太多了,所有我放弃了。我将三百道题的视频放在文章后面,还有截屏文档。最后希望大家在明天下午比赛能比出好成绩!
人大金仓角色sao、sso分别是什么意思?
03-25
### 关于人大金仓数据库中的角色 sao 和 sso 在人大金仓数据库的安全管理体系中,`sao` 和 `sso` 是两个重要的内置角色,它们分别承担不同的安全管理职责。 #### 1. **SAO (Security Administrator Operator)** `...
金仓数据库KingbaseES参数设置介绍
Kingbase_的博客
02-15 3186
参数级别介绍 KingbaseES配置参数共包括以下七个级别(由低到高),其中参数属于sighup及其后续级别的可由用户设置: 参数级别 级别说明 internal 仅支持内部使用 kingbase 仅支持启动时设置 sighup 支持修改配置文件后通过SIGHUP信号更新参数 superuser-backend 超级用户的后台级参数 backend 普通用户的后台级参数 superuser 支持超级用户在线修改的参数 user 支持普通用户在线修改的参数 查看参数以与所属级别的命令如下: kingbase
人大金仓数据库KingbaseES视图支持检查使用者权限介绍
arthemis_14的博客
03-06 954
视图定义者(DEFINER):一般是视图的创建者,即创建视图时使用的用户角色。但在有些数据库中可以指定DEFINER参数,那样视图定义者和创建视图时的用户可能不一致。视图创建者 :创建视图时使用的用户角色。视图所有者(OWNER):视图的属主,一般情况下即视图的创建者。视图创建后可能会变更owner。视图使用者:访问视图时使用的用户角色。行级安全策略:一条策略授予权限以选择、插入、更新或者删除匹配相关策略表达式的行。
人大金仓kingbase所有表权限,模式权限
qq_33763551的博客
06-27 2420
第一个PMS是自己的模式名。第二个PMS是自己的用户名。
人大金仓用户权限设置
左直拳的马桶_日用桶
08-20 9617
人大金仓的逻辑对象体系很清晰:库-模式-表/视图/叉叉叉,分别对应不同的权限。 今天我想访问一下同库中其他模式的表,结果提示对该模式缺乏权限。我执行了好几遍这个 grant all on all tables in schema "模式2" to "用户1"; 但问题一直存在。 后来在人大金仓提供的对象工具中,设置了用户对该模式的权限,才搞定: 上面是界面操作。其实也可以通过语句设置。总的来说,如果某一个用户,想访问一个模式下的表,要先拥有访问该模式的权限,然后再设置模式下的表的访问权限。缺一不可。 收
kingbase查看用户权限
zaiwuxiaoleigu的博客
09-04 1409
7、查看用户自定义类型上授予的USAGE权限。4、查看某用户在存储过程函数的执行权限。6、查看当前用户能够访问的数据类型。3、查看某用户的usage权限。5、查看某用户在某表的列上的权。1、查看某用户的系统权限。2、查看某用户的表权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值