19.2. Definir permissões locais usando ACLs
Você pode usar o comando pcs acl
para definir permissões para usuários locais para permitir acesso somente leitura ou leitura-escrita à configuração do cluster, usando listas de controle de acesso (ACLs).
Por padrão, as ACLs não são habilitadas. Quando as ACLs não são ativadas, o usuário root e qualquer usuário que seja membro do grupo haclient
em todos os nós tem acesso local completo à configuração do cluster enquanto os usuários que não são membros do haclient
não têm acesso. Quando as ACLs são ativadas, entretanto, mesmo os usuários que são membros do grupo haclient
têm acesso apenas ao que foi concedido a esse usuário pelas ACLs.
A definição de permissões para usuários locais é um processo em duas etapas:
-
Executar o comando
pcs acl role create…
para criar um role que define as permissões para essa função. -
Atribua a função que você criou a um usuário com o comando
pcs acl user create
. Se você atribuir várias funções ao mesmo usuário, qualquer permissãodeny
tem precedência, entãowrite
, entãoread
.
O seguinte procedimento de exemplo fornece acesso somente leitura para uma configuração de cluster a um usuário local chamado rouser
. Note que também é possível restringir o acesso apenas a certas partes da configuração.
É importante realizar este procedimento como raiz ou salvar todas as atualizações de configuração em um arquivo de trabalho que você pode então empurrar para a CIB ativa quando estiver terminado. Caso contrário, você pode se bloquear de fazer qualquer outra alteração. Para informações sobre como salvar atualizações de configuração em um arquivo de trabalho, consulte Salvando uma mudança de configuração em um arquivo de trabalho.
Este procedimento exige que o usuário
rouser
exista no sistema local e que o usuáriorouser
seja um membro do grupohaclient
.#
adduser rouser
#usermod -a -G haclient rouser
Habilite as ACLs do Pacemaker com o comando
pcs acl enable
.#
pcs acl enable
Criar uma função chamada
read-only
com permissões somente de leitura para a cib.#
pcs acl role create read-only description="Read access to cluster" read xpath /cib
Criar o usuário
rouser
no sistema ACL da pcs e atribuir a esse usuário a funçãoread-only
.#
pcs acl user create rouser read-only
Veja as ACLs atuais.
#
pcs acl
User: rouser Roles: read-only Role: read-only Description: Read access to cluster Permission: read xpath /cib (read-only-read)