3.3. Festlegen von Benutzerberechtigungen

Ab Red Hat Enteprise Linux 6.6 können Sie den Befehl pcs acl dazu verwenden, um mittels Zugriffssteuerungslisten (engl.: Access Control Lists oder ACLs) Berechtigungen für lokale Benutzer einzustellen, die Leseberechtigungen oder Lese- und Schreibberechtigungen für die Cluster-Konfiguration gewähren.
Das Einstellen der Berechtigungen für lokale Benutzer erfordert zwei Schritte:
  1. Führen Sie den Befehl pcs acl role create... aus, um eine Rolle zu erstellen, welche die Berechtigungen für diese Rolle definiert.
  2. Diese von Ihnen erstellte Rolle können Sie mithilfe des Befehls pcs acl user create einem Benutzer zuweisen.
Das folgende Beispielverfahren gewährt einem lokalen Benutzer namens rouser Lesezugriff auf eine Cluster-Konfiguration.
  1. Dieses Verfahren erfordert, dass der Benutzer rouser auf dem lokalen System existiert und dass der Benutzer rouser Mitglied der Gruppe hacluster ist.
    # adduser rouser
    # usermod -a -G hacluster rouser
  2. Aktivieren Sie Pacemaker-ACLs mit der Cluster-Eigenschaft enable-acl.
    # pcs property set enable-acl=true --force 
  3. Erstellen Sie eine Rolle namens read-only mit Leseberechtigungen für die CIB.
    # pcs acl role create read-only description="Read access to cluster" read xpath /cib
  4. Erstellen Sie den Benutzer rouser im ACL-System von pcs und weisen Sie diesem Benutzer die Rolle read-only zu.
    # pcs acl user create rouser read-only
  5. Zeigen Sie alle derzeitigen ACLs an.
    # pcs acl
    User: rouser
      Roles: read-only
    Role: read-only
      Description: Read access to cluster
      Permission: read xpath /cib (read-only-read)
Das folgende Beispielverfahren gewährt einem lokalen Benutzer namens wuser Schreibzugriff auf eine Cluster-Konfiguration.
  1. Dieses Verfahren erfordert, dass der Benutzer wuser auf dem lokalen System existiert und dass der Benutzer wuser Mitglied der Gruppe hacluster ist.
    # adduser wuser
    # usermod -a -G hacluster wuser
  2. Aktivieren Sie Pacemaker-ACLs mit der Cluster-Eigenschaft enable-acl.
    # pcs property set enable-acl=true --force 
  3. Erstellen Sie eine Rolle namens write-access mit Schreibberechtigungen für die CIB.
    # pcs acl role create write-access description="Full access" write xpath /cib
  4. Erstellen Sie den Benutzer wuser im ACL-System von pcs und weisen Sie diesem Benutzer die Rolle write-access zu.
    # pcs acl user create wuser write-access
  5. Zeigen Sie alle derzeitigen ACLs an.
    # pcs acl
    User: rouser
      Roles: read-only
    User: wuser
      Roles: write-access
    Role: read-only
      Description: Read access to cluster
      Permission: read xpath /cib (read-only-read)
    Role: write-access
      Description: Full Access
      Permission: write xpath /cib (write-access-write)
Weitere Informationen über Cluster-ACLs finden Sie auf dem Hilfebildschirm des Befehls pcs acl.