20.2. ACL을 사용하여 로컬 권한 설정

pcs acl 명령을 사용하여 로컬 사용자가 ACL(액세스 제어 목록)을 사용하여 클러스터 구성에 대한 읽기 전용 또는 읽기-쓰기 액세스를 허용할 수 있습니다.

기본적으로 ACL은 활성화되지 않습니다. ACLS를 활성화하지 않으면 모든 노드에서 haclient 그룹의 멤버인 모든 사용자에게 클러스터 구성에 대한 전체 로컬 읽기/쓰기 액세스 권한이 있는 반면 haclient 의 멤버가 아닌 사용자는 액세스 권한이 없습니다. 그러나 ACL이 활성화되면 haclient 그룹의 멤버인 사용자도 ACL을 통해 해당 사용자에게 부여된 항목에만 액세스할 수 있습니다. root 및 hacluster 사용자 계정은 ACL이 활성화된 경우에도 항상 클러스터 구성에 대한 전체 액세스 권한을 갖습니다.

로컬 사용자에 대한 권한 설정은 다음 두 단계로 수행됩니다.

  1. pcs acl 역할 create…​을 실행합니다. 해당 역할에 대한 권한을 정의하는 역할을 생성하는 명령입니다.
  2. pcs acl user create 명령을 사용하여 사용자에게 생성한 역할을 할당합니다. 동일한 사용자에게 여러 역할을 할당하면 거부 권한이 우선하며 쓰기 가 우선합니다.

절차

다음 예제 절차에서는 클러스터 구성에 대해 rouser 라는 로컬 사용자에게 읽기 전용 액세스를 제공합니다. 구성의 특정 부분에만 액세스를 제한할 수도 있습니다.

주의

이 절차를 root로 수행하거나 모든 구성 업데이트를 작업 파일에 저장한 다음 완료 시 활성 CIB로 푸시할 수 있습니다. 그렇지 않으면 자신을 더 이상 변경하지 못하도록 잠글 수 있습니다. 작업 중인 파일에 대한 구성 업데이트를 저장하는 방법에 대한 자세한 내용은 작업 중인 파일에 대한 구성 변경 사항을 참조하십시오.

  1. 이 절차를 수행하려면 사용자 rouser 가 로컬 시스템에 있고 사용자 rouserhaclient 그룹의 멤버여야 합니다. 

    # adduser rouser
# usermod -a -G haclient rouser

  2. pcs acl enable 명령을 사용하여 Pacemaker ACL을 활성화합니다. 

    # pcs acl enable

  3. cib에 대한 읽기 전용 권한을 사용하여 read-only 라는 역할을 만듭니다. 

    # pcs acl role create read-only description="Read access to cluster" read xpath /cib

  4. pcs ACL 시스템에 사용자 rouser 를 생성하고 해당 사용자에게 읽기 전용 역할을 할당합니다. 

    # pcs acl user create rouser read-only

  5. 현재 ACL을 확인합니다. 

    # pcs acl
User: rouser
  Roles: read-only
Role: read-only
  Description: Read access to cluster
  Permission: read xpath /cib (read-only-read)

  6. rouserpcs 명령을 실행하는 각 노드에서 rouser 로 로그인하고 로컬 pcsd 서비스에 인증합니다. ACL 사용자와 같은 특정 pcs 명령을 실행하려면 이 작업이 필요합니다. 

    [rouser ~]$ pcs client local-auth