20.2. ACL을 사용하여 로컬 권한 설정
ACL(액세스 제어 목록)을 사용하여 클러스터 구성에 대한 읽기 전용 또는 읽기-쓰기 액세스를 허용하도록 pcs acl
명령을 사용하여 로컬 사용자가 권한을 설정할 수 있습니다.
기본적으로 ACL은 활성화되어 있지 않습니다. ACL이 활성화되지 않으면 모든 노드에서 haclient
그룹의 멤버인 모든 사용자에게 클러스터 구성에 대한 전체 로컬 읽기/쓰기 액세스 권한이 있지만 haclient
의 멤버가 아닌 사용자는 액세스 권한이 없습니다. 그러나 ACL을 활성화하면 haclient
그룹의 멤버인 사용자도 ACL에서 해당 사용자에게 부여된 항목에만 액세스할 수 있습니다. root 및 hacluster
사용자 계정은 ACL이 활성화된 경우에도 항상 클러스터 구성에 대한 전체 액세스 권한을 갖습니다.
로컬 사용자에 대한 권한을 설정하는 것은 두 단계로 이루어진 프로세스입니다.
-
pcs acl 역할 create…를 실행합니다.
명령을 사용하여 해당 역할에 대한 권한을 정의하는 역할을 생성합니다. -
pcs acl user create
명령을 사용하여 사용자에게 생성한 역할을 할당합니다. 동일한 사용자에게 여러 역할을 할당하면거부
권한이 우선한 다음쓰기가
우선합니다.
절차
다음 예제 절차에서는 이름이 rouser
인 로컬 사용자에 대해 클러스터 구성에 대한 읽기 전용 액세스를 제공합니다. 구성의 특정 부분에 대한 액세스를 제한할 수도 있습니다.
이 절차를 root로 수행하거나 모든 구성 업데이트를 작업 파일에 저장한 다음 완료 시 활성 CIB로 푸시할 수 있는 작업 파일에 저장하는 것이 중요합니다. 그렇지 않으면 추가 변경으로 인해 사용자 자신을 잠글 수 있습니다. 작업 파일에 구성 업데이트 저장에 대한 자세한 내용은 작업 파일에 구성 변경 저장을 참조하십시오.
이 절차에서는 사용자
rouser
가 로컬 시스템에 있어야 하며 사용자rouser
가haclient
그룹의 멤버여야 합니다.# adduser rouser # usermod -a -G haclient rouser
pcs acl enable 명령을 사용하여 Pacemaker ACL을 활성화합니다
.# pcs acl enable
cib에
대해 읽기 전용
권한을 사용하여 read-only라는 역할을 만듭니다.# pcs acl role create read-only description="Read access to cluster" read xpath /cib
pcs ACL 시스템에서 사용자
rouser
를 생성하고 해당 사용자에게읽기 전용
역할을 할당합니다.# pcs acl user create rouser read-only
현재 ACL 보기.
# pcs acl User: rouser Roles: read-only Role: read-only Description: Read access to cluster Permission: read xpath /cib (read-only-read)
rouser
가pcs
명령을 실행하는 각 노드에서rouser
로 로그인하고 로컬pcsd
서비스에 인증합니다. 이 작업은 pcsstatus
와 같은 특정pcs
명령을 ACL 사용자로 실행하려면 필요합니다.[rouser ~]$ pcs client local-auth