Red Hat Training
A Red Hat training course is available for RHEL 8
19.2. Establecimiento de permisos locales mediante ACLs
Puede utilizar el comando pcs acl
para establecer los permisos de los usuarios locales para permitir el acceso de sólo lectura o de lectura-escritura a la configuración del clúster mediante el uso de listas de control de acceso (ACL).
Por defecto, las ACLs no están habilitadas. Cuando las ACLs no están habilitadas, el usuario root y cualquier usuario que sea miembro del grupo haclient
en todos los nodos tiene acceso local completo de lectura/escritura a la configuración del cluster mientras que los usuarios que no son miembros de haclient
no tienen acceso. Sin embargo, cuando las ACLs están activadas, incluso los usuarios que son miembros del grupo haclient
tienen acceso sólo a lo que se le ha concedido a ese usuario por las ACLs.
El establecimiento de permisos para los usuarios locales es un proceso de dos pasos:
-
Ejecute el comando
pcs acl role create…
para crear un role que defina los permisos para ese rol. -
Asigne el rol que creó a un usuario con el comando
pcs acl user create
. Si asigna varios roles al mismo usuario, cualquier permiso dedeny
tiene prioridad, luegowrite
, luegoread
.
El siguiente procedimiento de ejemplo proporciona acceso de sólo lectura para una configuración de clúster a un usuario local llamado rouser
. Tenga en cuenta que también es posible restringir el acceso sólo a determinadas partes de la configuración.
Es importante realizar este procedimiento como root o guardar todas las actualizaciones de la configuración en un archivo de trabajo que luego puede empujar a la CIB activa cuando haya terminado. De lo contrario, puede bloquearse a sí mismo para realizar más cambios. Para obtener información sobre cómo guardar las actualizaciones de configuración en un archivo de trabajo, consulte Guardar un cambio de configuración en un archivo de trabajo.
Este procedimiento requiere que el usuario
rouser
exista en el sistema local y que el usuariorouser
sea miembro del grupohaclient
.#
adduser rouser
#usermod -a -G haclient rouser
Habilite las ACL de Pacemaker con el comando
pcs acl enable
.#
pcs acl enable
Cree un rol llamado
read-only
con permisos de sólo lectura para el cib.#
pcs acl role create read-only description="Read access to cluster" read xpath /cib
Cree el usuario
rouser
en el sistema pcs ACL y asigne a ese usuario el rolread-only
.#
pcs acl user create rouser read-only
Ver las ACLs actuales.
#
pcs acl
User: rouser Roles: read-only Role: read-only Description: Read access to cluster Permission: read xpath /cib (read-only-read)