Red Hat Training

A Red Hat training course is available for RHEL 8

19.2. Definir permissões locais usando ACLs

Você pode usar o comando pcs acl para definir permissões para usuários locais para permitir acesso somente leitura ou leitura-escrita à configuração do cluster, usando listas de controle de acesso (ACLs).

Por padrão, as ACLs não são habilitadas. Quando as ACLs não são ativadas, o usuário root e qualquer usuário que seja membro do grupo haclient em todos os nós tem acesso local completo à configuração do cluster enquanto os usuários que não são membros do haclient não têm acesso. Quando as ACLs são ativadas, entretanto, mesmo os usuários que são membros do grupo haclient têm acesso apenas ao que foi concedido a esse usuário pelas ACLs.

A definição de permissões para usuários locais é um processo em duas etapas:

  1. Executar o comando pcs acl role create…​ para criar um role que define as permissões para essa função.
  2. Atribua a função que você criou a um usuário com o comando pcs acl user create. Se você atribuir várias funções ao mesmo usuário, qualquer permissão deny tem precedência, então write, então read.

O seguinte procedimento de exemplo fornece acesso somente leitura para uma configuração de cluster a um usuário local chamado rouser. Note que também é possível restringir o acesso apenas a certas partes da configuração.

Atenção

É importante realizar este procedimento como raiz ou salvar todas as atualizações de configuração em um arquivo de trabalho que você pode então empurrar para a CIB ativa quando estiver terminado. Caso contrário, você pode se bloquear de fazer qualquer outra alteração. Para informações sobre como salvar atualizações de configuração em um arquivo de trabalho, consulte Salvando uma mudança de configuração em um arquivo de trabalho.

  1. Este procedimento exige que o usuário rouser exista no sistema local e que o usuário rouser seja um membro do grupo haclient. 

    # adduser rouser
# usermod -a -G haclient rouser

  2. Habilite as ACLs do Pacemaker com o comando pcs acl enable. 

    # pcs acl enable

  3. Criar uma função chamada read-only com permissões somente de leitura para a cib. 

    # pcs acl role create read-only description="Read access to cluster" read xpath /cib

  4. Criar o usuário rouser no sistema ACL da pcs e atribuir a esse usuário a função read-only. 

    # pcs acl user create rouser read-only

  5. Veja as ACLs atuais. 

    # pcs acl
User: rouser
  Roles: read-only
Role: read-only
  Description: Read access to cluster
  Permission: read xpath /cib (read-only-read)