createuser — 定义一个新的 PostgreSQL 用户账户
createuser [连接选项...] [选项...] [用户名]
createuser 创建一个新的 PostgreSQL 用户(更准确地说,是一个角色)。只有超级用户和具有 CREATEROLE 权限的用户才能创建新用户,因此 createuser 必须由能够连接为超级用户或具有 CREATEROLE 权限的用户来调用。
如果您希望创建一个具有 SUPERUSER、REPLICATION 或 BYPASSRLS 权限的角色,您必须连接为超级用户,而不仅仅是具有 CREATEROLE 权限。超级用户意味着能够绕过数据库内的所有访问权限检查,因此不应轻易授予超级用户访问权限。CREATEROLE 也授予了 非常广泛的权限。
createuser 是一个包装器,用于执行SQL命令 CREATE ROLE。通过此实用程序创建用户与通过其他方法访问服务器来创建用户之间没有实际区别。
createuser 接受以下命令行参数
用户名指定要创建的 PostgreSQL 用户的名称。此名称必须与此 PostgreSQL 安装中的所有现有角色都不同。
-a 角色--with-admin=角色指定一个现有的角色,该角色将自动添加为新角色的成员,并赋予其管理权限,使其能够将新角色的成员资格授予他人。可以通过编写多个 -a 开关来指定多个现有角色。
-c 数字--connection-limit=数字为新用户设置最大连接数。默认是不设置限制。
-d--createdb新用户将被允许创建数据库。
-D--no-createdb新用户将被不允许创建数据库。这是默认设置。
-e--echo回显 createuser 生成并发送到服务器的命令。
-E--encrypted此选项已过时,但为向后兼容仍然接受。
-g 角色--member-of=角色--role=角色 (已弃用)指定新角色应自动添加为指定现有角色的成员。可以通过编写多个 -g 开关来指定多个现有角色。
-i--inherit新角色将自动继承其成员角色的权限。这是默认设置。
-I--no-inherit新角色将不会自动继承其成员角色的权限。
--interactive如果命令行未指定用户名,则提示输入用户名;并且还提示输入命令行未指定的 -d/-D、-r/-R、-s/-S 中的任何一个。 (这是 PostgreSQL 9.1 及以前版本的默认行为。)
-l--login新用户将被允许登录(即,用户名可用作初始会话用户标识符)。这是默认设置。
-L--no-login新用户将被不允许登录。(没有登录权限的角色仍然可以作为管理数据库权限的手段。)
-m 角色--with-member=角色指定一个现有的角色,该角色将自动添加为新角色的成员。可以通过编写多个 -m 开关来指定多个现有角色。
-P--pwprompt如果给出,createuser 将会提示输入新用户的密码。如果您不打算使用密码认证,则这不是必需的。
-r--createrole新用户将被允许创建、修改、删除、注释、更改其他角色的安全标签;也就是说,该用户将具有 CREATEROLE 权限。有关此权限所授予功能的更多信息,请参阅 角色创建。
-R--no-createrole新用户将被不允许创建新角色。这是默认设置。
-s--superuser新用户将成为超级用户。
-S--no-superuser新用户将不是超级用户。这是默认设置。
-v 时间戳--valid-until=时间戳设置一个日期和时间,之后该角色的密码将不再有效。默认是不设置密码过期日期。
-V--version打印 createuser 版本并退出。
--bypassrls新用户将绕过所有行级安全 (RLS) 策略。
--no-bypassrls新用户将不会绕过行级安全 (RLS) 策略。这是默认设置。
--replication新用户将拥有 REPLICATION 权限,更多信息请参阅 CREATE ROLE 的文档。
--no-replication新用户将不会拥有 REPLICATION 权限,更多信息请参阅 CREATE ROLE 的文档。这是默认设置。
-?--help显示关于 createuser 命令行参数的帮助信息,然后退出。
createuser 还接受以下用于连接参数的命令行参数
-h 主机--host=主机指定服务器运行所在计算机的主机名。如果值以斜杠开头,则用作 Unix 域套接字目录。
-p 端口--port=端口指定服务器正在监听连接的 TCP 端口或本地 Unix 域套接字文件扩展名。
-U 用户名--username=用户名要连接的用户名(不是要创建的用户名)。
-w--no-password绝不发出密码提示。如果服务器需要密码身份验证且密码不可用(例如通过 .pgpass 文件),则连接尝试将失败。此选项在没有用户在场输入密码的批处理作业和脚本中很有用。
-W--password强制 createuser 提示输入密码(用于连接到服务器,而不是新用户的密码)。
此选项从不是必需的,因为如果服务器要求密码认证,createuser 将自动提示输入密码。但是,createuser 会浪费一次连接尝试来发现服务器需要密码。在某些情况下,键入 -W 以避免额外的连接尝试是值得的。
PGHOSTPGPORTPGUSER默认连接参数
PG_COLOR指定是否在诊断消息中使用颜色。可能的值为 always、auto 和 never。
此实用程序以及大多数其他 PostgreSQL 实用程序也使用 libpq 支持的环境变量(请参阅 第 32.15 节)。
如果遇到困难,请参阅 CREATE ROLE 和 psql 以获取有关潜在问题和错误消息的讨论。数据库服务器必须在目标主机上运行。此外,libpq 前端库使用的任何默认连接设置和环境变量都将适用。
要在默认数据库服务器上创建一个名为 joe 的用户
$createuser joe
要在默认数据库服务器上创建一个名为 joe 的用户,并提示输入一些额外的属性
$createuser --interactive joeShall the new role be a superuser? (y/n)nShall the new role be allowed to create databases? (y/n)nShall the new role be allowed to create more new roles? (y/n)n
使用主机为 eden、端口为 5000 的服务器,通过明确指定属性来创建相同的 joe 用户,并查看底层命令
$createuser -h eden -p 5000 -S -D -R -e joeCREATE ROLE joe NOSUPERUSER NOCREATEDB NOCREATEROLE INHERIT LOGIN;
创建一个名为 joe 的用户,并立即为其分配密码
$createuser -P -s -e joeEnter password for new role:xyzzyEnter it again:xyzzyCREATE ROLE joe PASSWORD 'md5b5f5ba1a423792b526f799ae4eb3d59e' SUPERUSER CREATEDB CREATEROLE INHERIT LOGIN;
在上面的示例中,新密码在输入时实际上并未回显,但为了清晰起见,我们显示了输入的内容。正如您所见,密码在发送到客户端之前会进行加密。