createuser — 定义新的 PostgreSQL 用户帐户
createuser [connection-option...] [option...] [username]
createuser 创建新的 PostgreSQL 用户(或更确切地说,一个角色)。只有超级用户和具有 CREATEROLE 权限的用户才能创建新用户,因此 createuser 必须由能够以超级用户或具有 CREATEROLE 权限的用户身份连接的人员调用。
如果您希望使用 SUPERUSER、REPLICATION 或 BYPASSRLS 权限创建角色,则必须以超级用户身份连接,而不仅仅是具有 CREATEROLE 权限。成为超级用户意味着能够绕过数据库中的所有访问权限检查,因此不应轻易授予超级用户访问权限。 CREATEROLE 还传达了 非常广泛的权限。
createuser 是 SQL 命令 CREATE ROLE 的一个包装器。通过此实用程序创建用户与通过其他方法访问服务器创建用户之间没有实际区别。
createuser 接受以下命令行参数
username指定要创建的 PostgreSQL 用户的名称。此名称必须不同于此 PostgreSQL 安装中的所有现有角色。
-a role--with-admin=role指定一个现有角色,该角色将自动作为具有管理员选项的新角色的成员添加,从而赋予它向其他人授予新角色成员资格的权利。可以通过编写多个 -a 开关来指定多个现有角色。
-c number--connection-limit=number为新用户设置最大连接数。默认情况下不设置限制。
-d--createdb新用户将被允许创建数据库。
-D--no-createdb新用户将不被允许创建数据库。这是默认设置。
-e--echo回显 createuser 生成的并发送到服务器的命令。
-E--encrypted此选项已过时,但仍出于向后兼容性而被接受。
-g role--member-of=role--role=role(已弃用)指定新角色应自动添加为指定现有角色的成员。可以通过编写多个 -g 开关来指定多个现有角色。
-i--inherit新角色将自动继承其作为成员的角色的特权。这是默认设置。
-I--no-inherit新角色将不会自动继承其作为成员的角色的特权。
--interactive如果在命令行上未指定用户名,则提示输入用户名,并且提示输入命令行上未指定的 -d/-D、-r/-R、-s/-S 中的任何一个选项。(这是 PostgreSQL 9.1 之前的默认行为。)
-l--login新用户将被允许登录(即,用户名可以用作初始会话用户标识符)。这是默认设置。
-L--no-login新用户将不被允许登录。(没有登录权限的角色仍然可用作管理数据库权限的一种方式。)
-m role--with-member=role指定一个现有角色,该角色将自动添加为新角色的成员。可以通过编写多个 -m 开关来指定多个现有角色。
-P--pwprompt如果给出,createuser 将提示输入新用户的密码。如果您不打算使用密码认证,则无需此操作。
-r--createrole新用户将被允许创建、修改、删除、注释、更改其他角色的安全标签;也就是说,此用户将拥有 CREATEROLE 权限。有关此权限授予哪些功能的更多详细信息,请参见 角色创建。
-R--no-createrole新用户将不被允许创建新角色。这是默认设置。
-s--superuser新用户将是超级用户。
-S--no-superuser新用户将不是超级用户。这是默认设置。
-v timestamp--valid-until=timestamp设置一个日期和时间,在此之后角色的密码将不再有效。默认情况下,不设置密码到期日期。
-V--version打印 createuser 版本并退出。
--bypassrls新用户将绕过每项行级安全 (RLS) 策略。
--no-bypassrls新用户将不会绕过行级安全 (RLS) 策略。这是默认设置。
--replication新用户将拥有 REPLICATION 权限,该权限在 CREATE ROLE 文档中进行了更全面的描述。
--no-replication新用户将不会拥有 REPLICATION 权限,该权限在 CREATE ROLE 文档中进行了更全面的描述。这是默认设置。
-?--help显示有关 createuser 命令行参数的帮助,并退出。
createuser 还接受以下命令行参数作为连接参数
-h host--host=host指定服务器运行所在机器的主机名。如果该值以斜杠开头,则将其用作 Unix 域套接字的目录。
-p port--port=port指定服务器侦听连接的 TCP 端口或本地 Unix 域套接字文件扩展名。
-U username--username=username连接时使用的用户名(不是要创建的用户名)。
-w--no-password从不发出密码提示。如果服务器需要密码认证,并且无法通过其他方式(例如 .pgpass 文件)获得密码,则连接尝试将失败。此选项在没有用户输入密码的批处理作业和脚本中很有用。
-W--password强制 createuser 提示输入密码(用于连接到服务器,而不是新用户的密码)。
此选项永远不是必需的,因为如果服务器要求密码认证,createuser 将自动提示输入密码。但是,createuser 会浪费一次连接尝试来找出服务器是否需要密码。在某些情况下,值得键入 -W 以避免额外的连接尝试。
PGHOSTPGPORTPGUSER默认连接参数
PG_COLOR指定是否在诊断消息中使用颜色。可能的值为 always、auto 和 never。
此实用程序与大多数其他 PostgreSQL 实用程序一样,也使用 libpq 支持的环境变量(请参见 第 34.15 节)。
如果遇到困难,请参阅 CREATE ROLE 和 psql 以了解潜在问题和错误消息的讨论。数据库服务器必须在目标主机上运行。此外,libpq 前端库使用的任何默认连接设置和环境变量都将适用。
在默认数据库服务器上创建用户 joe
$createuser joe
在默认数据库服务器上创建用户 joe,并提示输入一些其他属性
$createuser --interactive joeShall the new role be a superuser? (y/n)nShall the new role be allowed to create databases? (y/n)nShall the new role be allowed to create more new roles? (y/n)n
使用主机 eden、端口 5000 上的服务器创建相同用户 joe,并显式指定属性,查看基础命令
$createuser -h eden -p 5000 -S -D -R -e joeCREATE ROLE joe NOSUPERUSER NOCREATEDB NOCREATEROLE INHERIT LOGIN;
创建用户 joe 作为超级用户,并立即分配密码
$createuser -P -s -e joeEnter password for new role:xyzzyEnter it again:xyzzyCREATE ROLE joe PASSWORD 'md5b5f5ba1a423792b526f799ae4eb3d59e' SUPERUSER CREATEDB CREATEROLE INHERIT LOGIN;
在上述示例中,输入新密码时实际上不会回显,但为了清楚起见,我们显示了输入的内容。如您所见,密码在发送到客户端之前已加密。