Re: roles

Hola de nuevo Alvaro, garcias por contestar
Pensé que sería mas "sencillo" (quizás lo sea, pero me cuesta aprenderlo
pq soy muy nuevo en esto), pero como se suele decir, con paciencia y una
caña( y mucho leer) se aprende a pescar:)
Con tu info, ya tengo para empezar, miraré como se hace, y me
documentaré para no "meter la pata":)
Muchas gracias de nuevo
Un saludo
Suso

> suso escribió:
>> Hola Alvaro que tal!, gracias por responder
>>>> Hola de nuevo, tengo un par de "dudillas", que son:
>>>>
>>>> 1 - Es posible crear algún tipo de rol, ya sea de grupo o login,
>>>> especial, que solo tenga permisos de lectura de la base de datos
>>> Claro. Debes asegurarte de revocar los privilegios a PUBLIC de todos
>>> los objetos para que esto tenga efecto. (Normalmente uno hace REVOKE a
>>> ese rol, pero el rol sigue teniendo acceso; la explicación es que el
>>> privilegio se obtiene porque PUBLIC los tiene). Luego le das GRANT
>>> SELECT en las tablas que te interesen. Observa también que debes
>>> otorgar privilegios a tablas y esquemas separadamente.
>>>
>> Es decir, solo hacer un REVOKE a el/os rol/es de login y/ grupos , y en
>> función de eso, lo hago para cada tablas o lo que tenga acceso ese/os
>> rol/es.
>
> Además debes hacer
>
> REVOKE bla bla FROM PUBLIC;
>
>
>> 1 - Mi intención es crear 2 "grupos", uno con acceso completo a todas
>> las tablas de datos, y lo que sea necesario (pero no de superusuario), y
>> otro grupo que sólo según el caso, o bien sólo ver unas determinadas
>> tablas de datos, o verlas todas pero solo "ver", ningún tipo de
>> modificación, por eso el tema de controlar ese acceso y enviar
>> "mensajes", cuando alguien que no tiene los permisos adecuados decirle
>> "oye, esto no puedes hacerlo", pero quizás, eso se podría hacer con un
>> trigger, y un SP, es correcto?
>> Pero aún así, me haría falta obtener por código "el tipo de permiso"
>> que tiene esa persona, pq según sea, le bloqueo el acceso a ciertas
>> partes del programa, no sólo a las tablas, no sé si me explico.
>
> Ya entiendo. Supongo que lo que debes hacer es asignar cada uno de esos
> permisos a distintos roles de no-login, y luego otorgarle esos roles a
> los otros roles (que son los de login).
>
> Puedes saber si el rol actual "tiene" tal o cual rol usando la función
> pg_has_role, y usar eso para activar los distintos módulos en tu
> aplicación:
>
> alvherre=# create role lectura_sobre_tablas nologin;
> CREATE ROLE
> alvherre=# create role pedro;
> CREATE ROLE
> alvherre=# grant lectura_sobre_tablas to pedro;
> GRANT ROLE
>
> --- acá un ejemplo de cómo obtener la info si ya eres ese usuario:
> alvherre=# set session authorization pedro;
> SET
> alvherre=> select pg_has_role('lectura_sobre_tablas', 'usage');
> pg_has_role
> -------------
> t
> (1 fila)
>
> -- ejemplo de cómo obtenerlo cuando eres algún otro usuario:
> alvherre=> reset session AUTHORIZATION ;
> RESET
> alvherre=# select pg_has_role('pedro', 'lectura_sobre_tablas', 'usage');
> pg_has_role
> -------------
> t
> (1 fila)
>
>
>
>
>
> ------------------------------------------------------------------------
>
>
> Se certificó que el correo entrante no contiene virus.
> Comprobada por AVG - www.avg.es
> Versión: 8.5.329 / Base de datos de virus: 270.12.33/2120 - Fecha de la versión: 05/18/09 06:28:00
>