Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5. ユーザーのパーミッション設定

ユーザー hacluster 以外の特定のユーザーにもクラスターを管理するパーミッションを付与できます。個々のユーザーに付与できるパーミッションには、以下の 2 つのセットがあります。
  • 「ネットワーク上でのノードアクセスのパーミッション設定」 で説明しているように、個別のユーザーが Web UI からクラスターを管理でき、ネットワークからノードに接続できる pcs コマンドを実行可能なパーミッション。ネットワーク経由でノードに接続するコマンドには、クラスターを設定するコマンド、またはクラスターからノードを追加または削除するためのコマンドが含まれます。
  • 「ACL を使用したローカルパーミッションの設定」 で説明しているように、クラスター設定への読み込み専用または書き込み専用アクセスをローカルユーザーに許可するパーミッション。ネットワーク経由で接続する必要のないコマンドには、リソースの作成や制約の設定など、クラスター構成を編集するコマンドが含まれます。
両方のパーミッションセットが割り当てられている状況では、ネットワーク経由で接続するコマンドのパーミッションが最初に適用され、次にローカルノードのクラスター構成を編集するパーミッションが適用されます。多くの pcs コマンドは、ネットワークアクセスを必要とせず、ネットワークパーミッションが適用されません。

4.5.1. ネットワーク上でのノードアクセスのパーミッション設定

Web UI からクラスターを管理し、ネットワークからノードに接続する pcs コマンドを実行するために、特定のユーザーにパーミッションを付与するには、これらのユーザーをグループ haclient に追加します。「クラスター管理パーミッションの設定」 で説明しているように、Web UI を使用することで、これらのユーザーにパーミッションを付与することができます。

4.5.2. ACL を使用したローカルパーミッションの設定

Red Hat Enterprise Linux 7.1 以降では、pcs acl コマンドを使用してローカルユーザーのパーミッションを設定し、アクセス制御リスト (ACL) を使用してクラスター設定への読み取り専用または読み書きアクセスを許可できます。また、「ACL の設定」 で説明しているように、pcsd Web UI を使用して ACL を設定することも可能です。デフォルトでは、root ユーザーと、haclient グループのメンバーのユーザーは、クラスター構成への完全なローカル読み込み/書き込みアクセスを持ちます。
ローカルユーザーのパーミッションを設定するには、以下の 2 つの手順を実行します。
  1. pcs acl role create... コマンドを実行して role を作成しそのロールのパーミッションを定義します。
  2. pcs acl user create コマンドで作成したロールをユーザーに割り当てます。
以下の例では、rouser という名前のローカルユーザーに、クラスター設定に対する読み取り専用アクセスを提供します。
  1. この手順では、rouser ユーザーがローカルシステムに存在し、rouser ユーザーが haclient グループのメンバーであることが必要です。
    # adduser rouser
    # usermod -a -G haclient rouser
  2. enable-acl クラスタープロパティを使って Pacemaker ACL を有効にします。
    # pcs property set enable-acl=true --force 
  3. cib に対して読み取り専用のパーミッションが付与されている read-only という名前のロールを作成します。
    # pcs acl role create read-only description="Read access to cluster" read xpath /cib
  4. pcs ACL システムで rouser ユーザーを作成し、そのユーザーに read-only ロールを割り当てます。
    # pcs acl user create rouser read-only
  5. 現在の ACL を表示します。
    # pcs acl
    User: rouser
      Roles: read-only
    Role: read-only
      Description: Read access to cluster
      Permission: read xpath /cib (read-only-read)
    
次の例では wuser と言うローカルユーザーにクラスター設定に対する書き込みアクセスを与えています。
  1. この手順では、wuser ユーザーがローカルシステムに存在し、wuser ユーザーが haclient グループのメンバーである必要があります。
    # adduser wuser
    # usermod -a -G haclient wuser
  2. enable-acl クラスタープロパティを使って Pacemaker ACL を有効にします。
    # pcs property set enable-acl=true --force 
  3. cib に対して書き込みパーミッションを持つ write-access という名前のロールを作成します。
    # pcs acl role create write-access description="Full access" write xpath /cib
  4. pcs ACL システム内に wuser というユーザーを作成し、write-access ロールを割り当てます。
    # pcs acl user create wuser write-access
  5. 現在の ACL を表示します。
    # pcs acl
    User: rouser
      Roles: read-only
    User: wuser
      Roles: write-access
    Role: read-only
      Description: Read access to cluster
      Permission: read xpath /cib (read-only-read)
    Role: write-access
      Description: Full Access
      Permission: write xpath /cib (write-access-write)
    
クラスター ACL の詳細については pcs acl コマンドのヘルプ画面を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。