createuser创建一个新的PostgreSQL用户(或者更准确些,是一个角色)。只有超级用户和具有CREATEROLE特权的用户才能创建新用户,因此createuser必须被以上两种用户调用。
如果你希望创建一个新的超级用户,你必须作为一个超级用户连接,而不仅仅是具有CREATEROLE特权。作为一个超级用户意味着绕过数据库中所有访问权限检查的能力,因此超级用户地位不能轻易被授予。
createuser是SQL命令CREATE ROLE的一个包装器。在通过这个工具和其他方法访问服务器来创建用户之间没有实质性的区别。
createuser接受下列命令行参数:
指定要被创建的PostgreSQL用户的名称。这个名称必须与这个PostgreSQL安装中所有现存角色不同。
为该新用户设置一个最大连接数。默认值为不设任何限制。
新用户将被允许创建数据库。
新用户将不被允许创建数据库。这是默认值。
回显createuser生成并发送给服务器的命令。
加密存储在数据库中的用户口令。如果没有指定,默认的口令行为将被使用。
新角色将自动继承把它作为成员的角色的特权。这是默认值。
新角色将不会自动继承把它作为成员的角色的特权。
如果在命令行没有指定用户名,提示要求用户名,并且在命令行没有指定选项 -d/-D、 -r/-R、 -s/-S时也提示(一直到 PostgreSQL 9.1 这都是默认行为)。
新用户将被允许登入(即,该用户名能被用作初始会话用户标识符)。这是默认值。
新用户将不被允许登入(一个没有登录特权的角色仍然可以作为管理数据库权限的方式而存在)。
不对存储在数据库中的用户口令加密。如果没有指定,默认的口令行为将被使用。
如果给定,createuser将发出一个提示要求新用户的口令。如果你没有计划使用口令认证,这就不是必须的。
新用户将被允许创建新的角色(即,这个用户将具有CREATEROLE特权)。
新用户将不被允许创建新角色。这是默认值。
新用户将成为一个超级用户。
新用户将不会成为一个超级用户。这是默认值。
打印createuser版本并退出。
新用户将具有REPLICATION特权,这在CREATE ROLE的文档中有更完整的描述。
新用户将不具有REPLICATION特权,这在CREATE ROLE的文档中有更完整的描述。
显示有关createuser命令行参数的帮助并退出。
createuser也接受下列命令行参数作为连接参数:
指定运行服务器的机器的主机名。如果该值以一个斜线开始,它被用作 Unix 域套接字的目录。
指定服务器正在监听连接的 TCP 端口或本地 Unix 域套接字文件扩展。
要作为哪个用户连接(不是要创建的用户名)。
从不发出一个口令提示。如果服务器要求口令认证并且没有其他方式提供口令(例如一个.pgpass文件),那儿连接尝试将失败。这个选项对于批处理任务和脚本有用,因为在其中没有一个用户来输入口令。
强制createuser在连接到一个数据库之前提示要求一个口令(用来连接到服务器,而不是新用户的口令)。
这个选项不是必不可少的,因为如果服务器要求口令认证,createuser将自动提示要求一个口令。但是,createuser将浪费一次连接尝试来发现服务器想要一个口令。在某些情况下值得用-W来避免额外的连接尝试。
要在默认数据库服务器上创建一个用户joe:
$ createuser joe
要在默认数据库服务器上创建一个用户joe并提示要求一些额外属性:
$ createuser --interactive joe Shall the new role be a superuser? (y/n) n Shall the new role be allowed to create databases? (y/n) n Shall the new role be allowed to create more new roles? (y/n) n
要使用在主机eden、端口 5000 上的服务器创建同一个用户joe,并带有显式指定的属性,看看下面的命令:
$ createuser -h eden -p 5000 -S -D -R -e joe CREATE ROLE joe NOSUPERUSER NOCREATEDB NOCREATEROLE INHERIT LOGIN;
要创建用户joe为一个超级用户并且立刻分配一个口令:
$ createuser -P -s -e joe Enter password for new role: xyzzy Enter it again: xyzzy CREATE ROLE joe PASSWORD 'md5b5f5ba1a423792b526f799ae4eb3d59e' SUPERUSER CREATEDB CREATEROLE INHERIT LOGIN;
在上面的例子中,在录入新口令时新口令并没有真正地被回显,但是为了清晰,我们特意把它列了出来。如你所见,该口令在被发送给客户端之前会被加密。如果使用了选项--unencrypted,口令将会出现在回显的命令中(并且还可能出现在服务器日志和其他地方)。因此如果任何他人能够看到你的屏幕,你不会希望使用-e。