3.3. ユーザーのパーミッション設定

Red Hat Enteprise Linux 6.6 からは pcs acl コマンドを使ったローカルユーザーのパーミッション設定が可能になり、アクセス制御一覧でクラスター設定に対する読み取り専用アクセスや読み取りと書き込みのアクセスを許可することができるようになります。
ローカルユーザーのパーミッションを設定するには以下の 2 ステップに従います。
  1. pcs acl role create... コマンドを実行して role を作成しそのロールのパーミッションを定義します。
  2. pcs acl user create コマンドで作成したロールをユーザーに割り当てます。
以下の例では rouser というローカルユーザーにクラスター設定に対する読み取り専用アクセスを与えています。
  1. この場合、rouser ユーザーがローカルシステムに存在していること、また rouser ユーザーが hacluster グループのメンバーでなければなりません。
    # adduser rouser
    # usermod -a -G hacluster rouser
  2. enable-acl クラスタープロパティを使って Pacemaker ACL を有効にします。
    # pcs property set enable-acl=true --force 
  3. cib に対して読み取り専用のパーミッションを持つ read-only という名前のロールを作成します。
    # pcs acl role create read-only description="Read access to cluster" read xpath /cib
  4. pcs ACL システム内に rouser というユーザーを作成し、read-only ロールを割り当てます。
    # pcs acl user create rouser read-only
  5. 現在の ACL を表示させます。
    # pcs acl
    User: rouser
      Roles: read-only
    Role: read-only
      Description: Read access to cluster
      Permission: read xpath /cib (read-only-read)
次の例では wuser と言うローカルユーザーにクラスター設定に対する書き込みアクセスを与えています。
  1. この場合、wuser ユーザーがローカルシステムに存在していること、また wuser ユーザーが hacluster グループのメンバーでなければなりません。
    # adduser wuser
    # usermod -a -G hacluster wuser
  2. enable-acl クラスタープロパティを使って Pacemaker ACL を有効にします。
    # pcs property set enable-acl=true --force 
  3. cib に対して書き込みパーミッションを持つ write-access という名前のロールを作成します。
    # pcs acl role create write-access description="Full access" write xpath /cib
  4. pcs ACL システム内に wuser というユーザーを作成し、write-access ロールを割り当てます。
    # pcs acl user create wuser write-access
  5. 現在の ACL を表示させます。
    # pcs acl
    User: rouser
      Roles: read-only
    User: wuser
      Roles: write-access
    Role: read-only
      Description: Read access to cluster
      Permission: read xpath /cib (read-only-read)
    Role: write-access
      Description: Full Access
      Permission: write xpath /cib (write-access-write)
クラスター ACL の詳細については pcs acl コマンドのヘルプ画面を参照してください。