19.2. Definir permissões locais usando ACLs


Você pode usar o comando pcs acl para definir permissões para usuários locais para permitir acesso somente leitura ou leitura-escrita à configuração do cluster, usando listas de controle de acesso (ACLs).

Por padrão, as ACLs não são habilitadas. Quando as ACLs não são ativadas, o usuário root e qualquer usuário que seja membro do grupo haclient em todos os nós tem acesso local completo à configuração do cluster enquanto os usuários que não são membros do haclient não têm acesso. Quando as ACLs são ativadas, entretanto, mesmo os usuários que são membros do grupo haclient têm acesso apenas ao que foi concedido a esse usuário pelas ACLs.

A definição de permissões para usuários locais é um processo em duas etapas:

  1. Executar o comando pcs acl role create…​ para criar um role que define as permissões para essa função.
  2. Atribua a função que você criou a um usuário com o comando pcs acl user create. Se você atribuir várias funções ao mesmo usuário, qualquer permissão deny tem precedência, então write, então read.

O seguinte procedimento de exemplo fornece acesso somente leitura para uma configuração de cluster a um usuário local chamado rouser. Note que também é possível restringir o acesso apenas a certas partes da configuração.

Atenção

É importante realizar este procedimento como raiz ou salvar todas as atualizações de configuração em um arquivo de trabalho que você pode então empurrar para a CIB ativa quando estiver terminado. Caso contrário, você pode se bloquear de fazer qualquer outra alteração. Para informações sobre como salvar atualizações de configuração em um arquivo de trabalho, consulte Salvando uma mudança de configuração em um arquivo de trabalho.

  1. Este procedimento exige que o usuário rouser exista no sistema local e que o usuário rouser seja um membro do grupo haclient.

    # adduser rouser
    # usermod -a -G haclient rouser
  2. Habilite as ACLs do Pacemaker com o comando pcs acl enable.

    # pcs acl enable
  3. Criar uma função chamada read-only com permissões somente de leitura para a cib.

    # pcs acl role create read-only description="Read access to cluster" read xpath /cib
  4. Criar o usuário rouser no sistema ACL da pcs e atribuir a esse usuário a função read-only.

    # pcs acl user create rouser read-only
  5. Veja as ACLs atuais.

    # pcs acl
    User: rouser
      Roles: read-only
    Role: read-only
      Description: Read access to cluster
      Permission: read xpath /cib (read-only-read)
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.