20.2. Définition des autorisations locales à l'aide d'ACL
Vous pouvez utiliser la commande pcs acl
pour définir des autorisations pour les utilisateurs locaux afin de permettre un accès en lecture seule ou en lecture-écriture à la configuration du cluster en utilisant des listes de contrôle d'accès (ACL).
Par défaut, les ACLS ne sont pas activés. Lorsque les ACLS ne sont pas activées, tout utilisateur membre du groupe haclient
sur tous les nœuds dispose d'un accès local complet en lecture/écriture à la configuration de la grappe, tandis que les utilisateurs qui ne sont pas membres du groupe haclient
n'y ont pas accès. Cependant, lorsque les ACL sont activées, même les utilisateurs membres du groupe haclient
n'ont accès qu'à ce qui leur a été accordé par les ACL. Les comptes d'utilisateur root et hacluster
ont toujours un accès complet à la configuration de la grappe, même lorsque les listes de contrôle d'accès sont activées.
La définition des autorisations pour les utilisateurs locaux se fait en deux étapes :
-
Exécutez la commande
pcs acl role create…
pour créer un role qui définit les autorisations pour ce rôle. -
Attribuez le rôle que vous avez créé à un utilisateur à l'aide de la commande
pcs acl user create
. Si vous attribuez plusieurs rôles au même utilisateur, l'autorisationdeny
est prioritaire, puiswrite
, puisread
.
Procédure
L'exemple de procédure suivant permet à un utilisateur local nommé rouser
d'accéder en lecture seule à la configuration d'un cluster. Notez qu'il est également possible de restreindre l'accès à certaines parties de la configuration.
Il est important d'effectuer cette procédure en tant que root ou de sauvegarder toutes les mises à jour de configuration dans un fichier de travail que vous pourrez ensuite transférer dans le CIB actif lorsque vous aurez terminé. Dans le cas contraire, vous risquez de ne pas pouvoir effectuer d'autres modifications. Pour plus d'informations sur l'enregistrement des mises à jour de configuration dans un fichier de travail, voir Enregistrement d'une modification de configuration dans un fichier de travail.
Cette procédure nécessite que l'utilisateur
rouser
existe sur le système local et que l'utilisateurrouser
soit membre du groupehaclient
.# adduser rouser # usermod -a -G haclient rouser
Activez les ACL de Pacemaker avec la commande
pcs acl enable
.# pcs acl enable
Créez un rôle nommé
read-only
avec des permissions de lecture seule pour le cib.# pcs acl role create read-only description="Read access to cluster" read xpath /cib
Créez l'utilisateur
rouser
dans le système pcs ACL et attribuez-lui le rôleread-only
.# pcs acl user create rouser read-only
Visualiser les ACL en cours.
# pcs acl User: rouser Roles: read-only Role: read-only Description: Read access to cluster Permission: read xpath /cib (read-only-read)
Sur chaque nœud où
rouser
exécutera les commandespcs
, connectez-vous en tant querouser
et authentifiez-vous auprès du service localpcsd
. Cela est nécessaire pour exécuter certaines commandespcs
, telles quepcs status
, en tant qu'utilisateur ACL.[rouser ~]$ pcs client local-auth