19.2. Establecimiento de permisos locales mediante ACLs

Puede utilizar el comando pcs acl para establecer los permisos de los usuarios locales para permitir el acceso de sólo lectura o de lectura-escritura a la configuración del clúster mediante el uso de listas de control de acceso (ACL).

Por defecto, las ACLs no están habilitadas. Cuando las ACLs no están habilitadas, el usuario root y cualquier usuario que sea miembro del grupo haclient en todos los nodos tiene acceso local completo de lectura/escritura a la configuración del cluster mientras que los usuarios que no son miembros de haclient no tienen acceso. Sin embargo, cuando las ACLs están activadas, incluso los usuarios que son miembros del grupo haclient tienen acceso sólo a lo que se le ha concedido a ese usuario por las ACLs.

El establecimiento de permisos para los usuarios locales es un proceso de dos pasos:

  1. Ejecute el comando pcs acl role create…​ para crear un role que defina los permisos para ese rol.
  2. Asigne el rol que creó a un usuario con el comando pcs acl user create. Si asigna varios roles al mismo usuario, cualquier permiso de deny tiene prioridad, luego write, luego read.

El siguiente procedimiento de ejemplo proporciona acceso de sólo lectura para una configuración de clúster a un usuario local llamado rouser. Tenga en cuenta que también es posible restringir el acceso sólo a determinadas partes de la configuración.

Aviso

Es importante realizar este procedimiento como root o guardar todas las actualizaciones de la configuración en un archivo de trabajo que luego puede empujar a la CIB activa cuando haya terminado. De lo contrario, puede bloquearse a sí mismo para realizar más cambios. Para obtener información sobre cómo guardar las actualizaciones de configuración en un archivo de trabajo, consulte Guardar un cambio de configuración en un archivo de trabajo.

  1. Este procedimiento requiere que el usuario rouser exista en el sistema local y que el usuario rouser sea miembro del grupo haclient.

    # adduser rouser
    # usermod -a -G haclient rouser
  2. Habilite las ACL de Pacemaker con el comando pcs acl enable.

    # pcs acl enable
  3. Cree un rol llamado read-only con permisos de sólo lectura para el cib.

    # pcs acl role create read-only description="Read access to cluster" read xpath /cib
  4. Cree el usuario rouser en el sistema pcs ACL y asigne a ese usuario el rol read-only.

    # pcs acl user create rouser read-only
  5. Ver las ACLs actuales.

    # pcs acl
    User: rouser
      Roles: read-only
    Role: read-only
      Description: Read access to cluster
      Permission: read xpath /cib (read-only-read)