Show Table of Contents
3.3. Festlegen von Benutzerberechtigungen
Ab Red Hat Enteprise Linux 6.6 können Sie den Befehl
pcs acl
dazu verwenden, um mittels Zugriffssteuerungslisten (engl.: Access Control Lists oder ACLs) Berechtigungen für lokale Benutzer einzustellen, die Leseberechtigungen oder Lese- und Schreibberechtigungen für die Cluster-Konfiguration gewähren.
Das Einstellen der Berechtigungen für lokale Benutzer erfordert zwei Schritte:
- Führen Sie den Befehl
pcs acl role create...
aus, um eine Rolle zu erstellen, welche die Berechtigungen für diese Rolle definiert. - Diese von Ihnen erstellte Rolle können Sie mithilfe des Befehls
pcs acl user create
einem Benutzer zuweisen.
Das folgende Beispielverfahren gewährt einem lokalen Benutzer namens
rouser
Lesezugriff auf eine Cluster-Konfiguration.
- Dieses Verfahren erfordert, dass der Benutzer
rouser
auf dem lokalen System existiert und dass der Benutzerrouser
Mitglied der Gruppehacluster
ist.#
adduser rouser
#usermod -a -G hacluster rouser
- Aktivieren Sie Pacemaker-ACLs mit der Cluster-Eigenschaft
enable-acl
.#
pcs property set enable-acl=true --force
- Erstellen Sie eine Rolle namens
read-only
mit Leseberechtigungen für die CIB.#
pcs acl role create read-only description="Read access to cluster" read xpath /cib
- Erstellen Sie den Benutzer
rouser
im ACL-System von pcs und weisen Sie diesem Benutzer die Rolleread-only
zu.#
pcs acl user create rouser read-only
- Zeigen Sie alle derzeitigen ACLs an.
#
pcs acl
User: rouser Roles: read-only Role: read-only Description: Read access to cluster Permission: read xpath /cib (read-only-read)
Das folgende Beispielverfahren gewährt einem lokalen Benutzer namens
wuser
Schreibzugriff auf eine Cluster-Konfiguration.
- Dieses Verfahren erfordert, dass der Benutzer
wuser
auf dem lokalen System existiert und dass der Benutzerwuser
Mitglied der Gruppehacluster
ist.#
adduser wuser
#usermod -a -G hacluster wuser
- Aktivieren Sie Pacemaker-ACLs mit der Cluster-Eigenschaft
enable-acl
.#
pcs property set enable-acl=true --force
- Erstellen Sie eine Rolle namens
write-access
mit Schreibberechtigungen für die CIB.#
pcs acl role create write-access description="Full access" write xpath /cib
- Erstellen Sie den Benutzer
wuser
im ACL-System von pcs und weisen Sie diesem Benutzer die Rollewrite-access
zu.#
pcs acl user create wuser write-access
- Zeigen Sie alle derzeitigen ACLs an.
#
pcs acl
User: rouser Roles: read-only User: wuser Roles: write-access Role: read-only Description: Read access to cluster Permission: read xpath /cib (read-only-read) Role: write-access Description: Full Access Permission: write xpath /cib (write-access-write)
Weitere Informationen über Cluster-ACLs finden Sie auf dem Hilfebildschirm des Befehls
pcs acl
.