Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

20.2. Définition des autorisations locales à l'aide d'ACL

download PDF

Vous pouvez utiliser la commande pcs acl pour définir des autorisations pour les utilisateurs locaux afin de permettre un accès en lecture seule ou en lecture-écriture à la configuration du cluster en utilisant des listes de contrôle d'accès (ACL).

Par défaut, les ACLS ne sont pas activés. Lorsque les ACLS ne sont pas activées, tout utilisateur membre du groupe haclient sur tous les nœuds dispose d'un accès local complet en lecture/écriture à la configuration de la grappe, tandis que les utilisateurs qui ne sont pas membres du groupe haclient n'y ont pas accès. Cependant, lorsque les ACL sont activées, même les utilisateurs membres du groupe haclient n'ont accès qu'à ce qui leur a été accordé par les ACL. Les comptes d'utilisateur root et hacluster ont toujours un accès complet à la configuration de la grappe, même lorsque les listes de contrôle d'accès sont activées.

La définition des autorisations pour les utilisateurs locaux se fait en deux étapes :

  1. Exécutez la commande pcs acl role create…​ pour créer un role qui définit les autorisations pour ce rôle.
  2. Attribuez le rôle que vous avez créé à un utilisateur à l'aide de la commande pcs acl user create. Si vous attribuez plusieurs rôles au même utilisateur, l'autorisation deny est prioritaire, puis write, puis read.

Procédure

L'exemple de procédure suivant permet à un utilisateur local nommé rouser d'accéder en lecture seule à la configuration d'un cluster. Notez qu'il est également possible de restreindre l'accès à certaines parties de la configuration.

Avertissement

Il est important d'effectuer cette procédure en tant que root ou de sauvegarder toutes les mises à jour de configuration dans un fichier de travail que vous pourrez ensuite transférer dans le CIB actif lorsque vous aurez terminé. Dans le cas contraire, vous risquez de ne pas pouvoir effectuer d'autres modifications. Pour plus d'informations sur l'enregistrement des mises à jour de configuration dans un fichier de travail, voir Enregistrement d'une modification de configuration dans un fichier de travail.

  1. Cette procédure nécessite que l'utilisateur rouser existe sur le système local et que l'utilisateur rouser soit membre du groupe haclient. 

    # adduser rouser
# usermod -a -G haclient rouser

  2. Activez les ACL de Pacemaker avec la commande pcs acl enable. 

    # pcs acl enable

  3. Créez un rôle nommé read-only avec des permissions de lecture seule pour le cib. 

    # pcs acl role create read-only description="Read access to cluster" read xpath /cib

  4. Créez l'utilisateur rouser dans le système pcs ACL et attribuez-lui le rôle read-only. 

    # pcs acl user create rouser read-only

  5. Visualiser les ACL en cours. 

    # pcs acl
User: rouser
  Roles: read-only
Role: read-only
  Description: Read access to cluster
  Permission: read xpath /cib (read-only-read)

  6. Sur chaque nœud où rouser exécutera les commandes pcs, connectez-vous en tant que rouser et authentifiez-vous auprès du service local pcsd. Cela est nécessaire pour exécuter certaines commandes pcs, telles que pcs status, en tant qu'utilisateur ACL. 

    [rouser ~]$ pcs client local-auth
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.