機械翻訳について

web UIでのACL権限の構成

Pacemakerアクセス制御リスト(ACL)を使用して、クラスタ構成タスクを実行するためのロールベースのアクセスをローカル・グループおよびユーザーに提供します。

HAクラスタでACLを使用するには、次の前提条件が必要です:

  • 構成するクラスタでは、「ACLの有効化」クラスタ・プロパティをtrueに設定する必要があります。 この方法の詳細は、「クラスタ・プロパティの設定」を参照してください。

  • ACL権限で構成されているローカル・ユーザーおよびグループは、クラスタ内の各ノードに存在する必要があります。

  • ローカル・ユーザーは、クラスタ内の各ノードのhaclientグループに割り当てる必要があります。

web UIでのACL権限の構成には、次のpcsエンティティの操作が含まれます:

クラスタ情報ベース

クラスタ情報ベース(CIB)は、クラスタ構成とそのリソースの現在の状態を示すXML表現です。 CIBからXMLを表示するには、次のコマンドを実行します: 

sudo pcs cluster cib

HAクラスタでのACL権限の構成には、CIB XMLの様々な部分にアクセスするためのreadwriteおよびdenyルールの構成が含まれます。 xpath値、またはXML要素のid値を使用して、権限を適用するCIB XML要素を指定できます。 CIBとそのXMLへの権限の適用方法の詳細は、pcs(8)のマニュアル・ページを参照してください。

注意:

CIBを直接編集しないでください。 かわりに、UIまたはpcsインタフェースを使用してクラスタを構成します。
ロール

UIでロールを作成し、ローカル・グループおよびユーザーが必要な権限を定義します。 たとえば、CIBの/cib/configuration/resources XMLサブツリーへの書込みアクセス権を持つresource_manager_roleという名前のロールを作成し、このロールをクラスタ・リソースを管理する必要があるグループおよびユーザーに割り当てることができます。

グループ

クラスタ・ノードのローカル・グループにロール権限を割り当てるには、対応するpcsグループをローカル・グループと同じ名前でweb UIに作成します。 UIで作成されたpcsグループにロールを割り当てると、対応するローカル・グループのユーザーは、そのロールで定義されたACL権限を受け取ります。

ユーザー

クラスタ・ノードのローカル・ユーザーにロール権限を割り当てるには、対応するpcsユーザーを、web UIで一致するユーザー名で作成する必要があります。 UIで作成されたpcsユーザーにロールを割り当て、各ノードの対応するローカル・ユーザーにロールで定義されたACL権限が割り当てられます。

ロールの作成

Cockpit HAクラスタ管理web UIを使用して、クラスタ構成タスクを実行するためのACL権限を持つロールを作成します。

web UIを使用して、CIB XMLの様々な部分にアクセスするためのreadwriteおよびdenyルールを構成するロールを作成します。 xpath値、またはXML要素のid値を使用して、権限を適用するCIB XML要素を指定できます。

次の手順の例は、CIBを読み取り、リソースを構成するための権限を持つロールを作成する方法を示しています。

ステップ

HAクラスタ管理web UIアプリケーションでロールを作成するには、次のステップを実行します:

  1. Cockpitナビゲーション・ペインで、「HAクラスタ管理」を選択します。
    「クラスタ」ページが表示されます。
  2. 「クラスタ」ページで、構成するクラスタを選択します。
    最初は「概要」タブがアクティブな状態で、クラスタ情報を表示するタブ付きページが表示されます。
  3. ACLタブを選択します。
    ACLタブがアクティブになります。
  4. 「ロールの作成」を選択します。
    「aclワークフローの作成」の最初のページが表示されます。
  5. 名前(resource_manager_roleなど)を指定し、オプションで説明を追加します。

    ノート:

    ロール名はグループ名と競合しないようにしてください。 このような競合を回避する命名規則を使用します。たとえば、グループ名とロール名に異なるプレフィクスを使用します。

    「権限の追加」ページが表示されます。
  6. 「権限の追加」ページで、xpathを選択し、/cib (ルート要素)の値を入力し、権限タイプのリストからreadを選択して、CIB xml全体のread権限を構成します。 「権限の追加」を選択します。
    権限フィールドの新しい行が表示されます。
  7. 新しい行で、xpathを選択し、/cib/configuration/resourcesの値を入力し、権限タイプのリストからwriteを選択して、リソースのwrite権限を構成します。
    このステップを完了すると、「設定のレビュー」ページが表示されます。
  8. 「ロールの作成」を選択します。
    ロールが作成されたことを確認するメッセージが表示されます。 メッセージを確認すると、ワークフローが閉じ、新しく作成されたロールが「ロール」セクションにリストされた「ACL」タブが表示されます。

グループの作成

Cockpit HAクラスタ管理web UIを使用して、クラスタ・ノードのローカル・グループに対応するpcsグループを作成します。

前提条件

次の手順のステップでは、次の前提条件が満たされていることを前提としています:

  • 各クラスタ・ノードで、同じpcs ACL権限を必要とするメンバー・ユーザーを使用してローカル・グループが作成されています。 たとえば、メンバー・ユーザーがリソース構成への書込みアクセス権を必要とするgroup_resource_usersという名前のグループです。

  • ユーザー・アカウントは、各ノードのhaclientグループのメンバーでもある必要があります。

  • UIで、ローカル・ユーザーに必要なACL権限を持つロールを作成しました。 この方法の詳細は、「ロールの作成」を参照してください。

ステップ

pcsグループを作成し、それにロールを割り当てるには、HAクラスタ管理web UIアプリケーションで次のステップを実行します:

  1. Cockpitナビゲーション・ペインで、「HAクラスタ管理」を選択します。
    「クラスタ」ページが表示されます。
  2. 「クラスタ」ページで、構成するクラスタを選択します。
    最初は「概要」タブがアクティブな状態で、クラスタ情報を表示するタブ付きページが表示されます。
  3. ACLタブを選択します。
    ACLタブがアクティブになります。
  4. 「アクション」メニューから、「グループの作成」を選択します。
    「グループの作成」ワークフローの最初のページが表示されます。
  5. 「グループの作成」ワークフローの最初のページの「名前」フィールドに、各ノードの対応するローカル・グループの名前と完全に一致する値を入力します。
    たとえば、各クラスタのローカル・グループの名前がgroup_resource_usersの場合、この値を「名前」フィールドに入力します。
    「ACLロールの割当て」ページが表示されます。
  6. 「ACLロールの割当て」ページで、このグループに作成したロールを選択し、それを「使用可能なロール」リストから「選択したロール」リストに移動します。
    「設定のレビュー」ページが表示されます。
  7. 「グループの作成」を選択します。
    グループが作成されたことを確認するメッセージが表示されます。 メッセージを確認すると、ワークフローが閉じ、新しく作成されたグループが「グループ」セクションにリストされた「ACL」タブが表示されます。
  8. ローカル・グループに属するユーザー・アカウントの1つを使用してHAクラスタ管理web UIアプリケーションにサインインし、ロール定義の権限が割り当てられていることを確認します。

ユーザーの作成

Cockpit HAクラスタ管理web UIを使用して、クラスタ・ノードのローカル・ユーザーに対応するpcsユーザーを作成します。

前提条件

次の手順のステップでは、次の前提条件が満たされていることを前提としています:

  • 各クラスタ・ノードには、pcs ACL権限を必要とするユーザー・アカウントがあります。 ユーザー・アカウントは、各ノードのhaclientグループのメンバーである必要があります。

  • UIで、ローカル・ユーザーに必要なACL権限を持つロールを作成しました。 この方法の詳細は、「ロールの作成」を参照してください。

ステップ

pcsユーザーを作成し、それにロールを割り当てるには、HAクラスタ管理web UIアプリケーションで次のステップを実行します:

  1. Cockpitナビゲーション・ペインで、「HAクラスタ管理」を選択します。
    「クラスタ」ページが表示されます。
  2. 「クラスタ」ページで、構成するクラスタを選択します。
    最初は「概要」タブがアクティブな状態で、クラスタ情報を表示するタブ付きページが表示されます。
  3. ACLタブを選択します。
    ACLタブがアクティブになります。
  4. 「ユーザーの作成」を選択します。
    「ユーザーの作成」ワークフローの最初のページが表示されます。
  5. 「ユーザーの作成」ワークフローの最初のページの「名前」フィールドに、各ノードの対応するローカル・ユーザーのユーザー名と完全に一致する値を入力します。
    たとえば、ローカル・ユーザーの名前がuser1の場合、この値を「名前」フィールドに入力します。
    「ACLロールの割当て」ページが表示されます。
  6. 「ACLロールの割当て」ページで、このグループに作成したロールを選択し、それを「使用可能なロール」リストから「選択したロール」リストに移動します。
    「設定のレビュー」ページが表示されます。
  7. 「ユーザーの作成」を選択します。
    ユーザーが作成されたことを確認するメッセージが表示されます。 メッセージを確認すると、ワークフローが閉じ、新しく作成されたユーザーが「ユーザー」セクションにリストされた「ACL」タブが表示されます。
  8. ローカル・ユーザーとしてHAクラスタ管理web UIアプリケーションにサインインし、ロール定義の権限が割り当てられていることを確認します。