20.2. ACL을 사용하여 로컬 권한 설정
pcs acl
명령을 사용하여 로컬 사용자가 ACL(액세스 제어 목록)을 사용하여 클러스터 구성에 대한 읽기 전용 또는 읽기-쓰기 액세스를 허용할 수 있습니다.
기본적으로 ACL은 활성화되지 않습니다. ACLS를 활성화하지 않으면 모든 노드에서 haclient
그룹의 멤버인 모든 사용자에게 클러스터 구성에 대한 전체 로컬 읽기/쓰기 액세스 권한이 있는 반면 haclient
의 멤버가 아닌 사용자는 액세스 권한이 없습니다. 그러나 ACL이 활성화되면 haclient
그룹의 멤버인 사용자도 ACL을 통해 해당 사용자에게 부여된 항목에만 액세스할 수 있습니다. root 및 hacluster
사용자 계정은 ACL이 활성화된 경우에도 항상 클러스터 구성에 대한 전체 액세스 권한을 갖습니다.
로컬 사용자에 대한 권한 설정은 다음 두 단계로 수행됩니다.
-
pcs acl 역할 create…을 실행합니다.
해당 역할에 대한 권한을 정의하는 역할을 생성하는 명령입니다. -
pcs acl user create
명령을 사용하여 사용자에게 생성한 역할을 할당합니다. 동일한 사용자에게 여러 역할을 할당하면거부
권한이 우선하며쓰기
가 우선합니다.
절차
다음 예제 절차에서는 클러스터 구성에 대해 rouser
라는 로컬 사용자에게 읽기 전용 액세스를 제공합니다. 구성의 특정 부분에만 액세스를 제한할 수도 있습니다.
이 절차를 root로 수행하거나 모든 구성 업데이트를 작업 파일에 저장한 다음 완료 시 활성 CIB로 푸시할 수 있습니다. 그렇지 않으면 자신을 더 이상 변경하지 못하도록 잠글 수 있습니다. 작업 중인 파일에 대한 구성 업데이트를 저장하는 방법에 대한 자세한 내용은 작업 중인 파일에 대한 구성 변경 사항을 참조하십시오.
이 절차를 수행하려면 사용자
rouser
가 로컬 시스템에 있고 사용자rouser
가haclient
그룹의 멤버여야 합니다.# adduser rouser # usermod -a -G haclient rouser
pcs acl enable
명령을 사용하여 Pacemaker ACL을 활성화합니다.# pcs acl enable
cib에 대한 읽기 전용 권한을 사용하여
read-only
라는 역할을 만듭니다.# pcs acl role create read-only description="Read access to cluster" read xpath /cib
pcs ACL 시스템에 사용자
rouser
를 생성하고 해당 사용자에게읽기 전용
역할을 할당합니다.# pcs acl user create rouser read-only
현재 ACL을 확인합니다.
# pcs acl User: rouser Roles: read-only Role: read-only Description: Read access to cluster Permission: read xpath /cib (read-only-read)
rouser
가pcs
명령을 실행하는 각 노드에서rouser
로 로그인하고 로컬pcsd
서비스에 인증합니다. ACL 사용자와 같은 특정pcs
명령을 실행하려면 이 작업이 필요합니다.[rouser ~]$ pcs client local-auth