12 アクセス制御リスト #
概要#
crmシェル(crmsh)またはHawk2などのクラスタ管理ツールは、rootユーザまたはhaclientグループ内のユーザが使用できます。デフォルトで、これらのユーザは完全な読み込み/書き込みのアクセス権を持ちます。アクセスを制限するか、または詳細なアクセス権を割り当てるには、「アクセス制御リスト」(ACL)を使用できます。
アクセス制御リストは、順序付けされたアクセスルールセットで構成されています。各ルールにより、クラスタ設定の一部への読み込みまたは書き込みアクセスの許可、またはアクセスの拒否が行われます。ルールは通常、組み合わせて特定の役割を生成し、ユーザを自分のタスクに一致する役割に割り当てることができます。
注記: CIB構文検証バージョンとACLとの違い
このACLマニュアルは、pacemaker-2.0以上のCIB構文バージョンでCIBを検証する場合にのみ適用します。この検証方法およびCIBバージョンのアップグレード方法の詳細については、注記: CIB構文バージョンのアップグレードを参照してください。
SUSE Linux Enterprise High Availability Extension 11 SPxからアップグレードする一方で、それまで使用してきたCIBバージョンを保持する場合は、SUSE Linux Enterprise High Availability Extension 11 SP3以前の『管理ガイド』で「アクセス制御リスト」の章を参照してください。https://documentation.suse.com/sle-ha-11から入手できます。
12.1 要件と前提条件 #
クラスタでACLの使用を開始する前に、次の条件が満たされていることを確認します。
NIS、Active Directoryを使用するか、またはすべてのノードに同じユーザを手動で追加して、クラスタ内のすべてのノード上に同じユーザがいることを確認します。
ACLでアクセス権を変更したいすべてのユーザが
haclientグループに属している必要があります。すべてのユーザが絶対パス
/usr/sbin/crmでcrmshを実行する必要があります。権限のないユーザがcrmshを実行する場合は、
/usr/sbinを使用して、PATH変数を展開する必要があります。
重要: デフォルトのアクセス権
ACLはオプションの機能です。デフォルトでは、ACLの使用は無効になっています。
ACL機能が無効化された場合、
rootおよびhaclientグループに属するすべてのユーザは、クラスタ設定への完全な読み込み/書き込みアクセス権を持ちます。ACLが有効化され、設定される場合でも、
rootおよびデフォルトのCRM所有者haclientは両方とも、「常に」クラスタ設定への完全なアクセス権を持ちます。
ACLを使用するには、XPathに関するいくらかの知識が必要になります。XPathはXMLドキュメントでノードを選択するための言語です。http://en.wikipedia.org/wiki/XPathを参照するか、http://www.w3.org/TR/xpath/の仕様を確認してください。
12.2 クラスタでのACLの使用の有効化 #
ACLの設定を開始する前に、ACLの使用を「有効にする」必要があります。有効にするには、crmshで次のコマンドを使用します。
root #crmconfigure property enable-acl=true
または、手順12.1「Hawk2でのACLの使用の有効化」で説明するように、Hawk2を使用します。
手順 12.1: Hawk2でのACLの使用の有効化 #
Hawk2にログインします。
https://HAWKSERVER:7630/
左のナビゲーションバーで、を選択して、グローバルクラスタオプションとそれらの現在の値を表示します。
の下にある空のドロップダウンボックスをクリックし、を選択してパラメータを追加します。デフォルト値
Noで追加されます。値を
Yesに設定して変更を適用します。
12.3 ACLの基\'96\'7b事項 #
アクセス制御リストは、順序付けされたアクセスルールセットで構成されています。各ルールにより、クラスタ設定の一部への読み込みまたは書き込みアクセスの許可、またはアクセスの拒否が行われます。ルールは通常、組み合わせて特定の役割を生成し、ユーザを自分のタスクに一致する役割に割り当てることができます。ACLの役割はCIBへのアクセス権を表すルールのセットです。ルールは次の要素で構成されています。
read、write、またはdenyのようなアクセス権。ルールを適用する場所の指定。種類、ID参照、またはXPath式を使用して指定できます。
通常、ACLを役割にバンドルし、システムユーザ(ACLターゲット)に特定の役割を割り当てると便利です。ACLルールを作成するためには、次の2つの方法があります。
12.3.1項 「XPath式によるACLルールの設定」。ACLルールを作成するためには、その記述言語であるXMLの構造を理解している必要があります。
12.3.2項 「短縮によるACLルールの設定」。簡略構文を作成し、ACLルールが一致するオブジェクトに適用します。
12.3.1 XPath式によるACLルールの設定 #
XPathによってACLルールを管理するには、その記述言語であるXMLの構造を理解している必要があります。XMLでクラスタ設定を表示する次のコマンドで構造を取得します(例 12.1を参照)。
root #crmconfigure show xml
例 12.1: XML内のクラスタ設定の例 #
<num_updates="59"
dc-uuid="175704363"
crm_feature_set="3.0.9"
validate-with="pacemaker-2.0"
epoch="96"
admin_epoch="0"
cib-last-written="Fri Aug 8 13:47:28 2014"
have-quorum="1">
<configuration>
<crm_config>
<cluster_property_set id="cib-bootstrap-options">
<nvpair name="stonith-enabled" value="true" id="cib-bootstrap-options-stonith-enabled"/>
[...]
</cluster_property_set>
</crm_config>
<nodes>
<node id="175704363" uname="alice"/>
<node id="175704619" uname="bob"/>
</nodes>
<resources> [...] </resources>
<constraints/>
<rsc_defaults> [...] </rsc_defaults>
<op_defaults> [...] </op_defaults>
<configuration>
</cib>
XPath言語を使用して、このXMLドキュメント内のノードを見つけることができます。たとえば、ルートノード(cib)を選択するには、XPath式/cibを使用します。グローバルクラスタ設定を見つけるには、XPath式/cib/configuration/crm_configを使用します。
一例として、表12.1「オペレータ役割 - アクセスタイプおよびXPath式」は、「オペレータ」の役割を作成するためのパラメータ(アクセスタイプおよびXPath式)を示しています。この役割を持つユーザは、2番目の列で説明されるタスクのみ実行することができ、リソースを再構成することはできません(たとえば、パラメータや操作の変更など)。また、コロケーションや順序の制約の設定を変更することもできません。
表 12.1: オペレータ役割 - アクセスタイプおよびXPath式 #
|
タイプ |
XPath/説明 |
|---|---|
|
書き込み |
//crm_config//nvpair[@name='maintenance-mode'] クラスタ保守モードをオンまたはオフにします。 |
|
書き込み |
//op_defaults//nvpair[@name='record-pending'] 保留中の操作を記録するかを選択します。 |
|
書き込み |
//nodes/node//nvpair[@name='standby'] ノードをオンラインまたはスタンバイモードで設定します。 |
|
書き込み |
//resources//nvpair[@name='target-role'] リソースを開始、停止、昇格または降格します。 |
|
書き込み |
//resources//nvpair[@name='maintenance'] リソースを保守モードにするかどうかを選択します。 |
|
書き込み |
//constraints/rsc_location リソースをノードから別のノードにマイグレート/移動します。 |
|
読み込み |
/cib クラスタのステータスを表示します。 |
12.3.2 短縮によるACLルールの設定 #
XML構造を扱いたくないユーザ向には、より簡単な方法があります。
たとえば、次のXPathを検討します。
//*[@id="rsc1"]
このXPathは、IDがrsc1であるXMLノードをすべて探し出します。
短縮構文はこのように書かれます。
ref:"rsc1"
これは制約にも使用できます。これが冗長なXPathです。
//constraints/rsc_location
短縮構文はこのように書かれます。
type:"rsc_location"
短縮構文はcrmshおよびHawk2で使用できます。CIBデーモンは一致するオブジェクトにACLルールを適用する方法を認識しています。
12.4 Hawk2によるACLの設定 #
次の手順は、monitor役割を定義し、それをユーザに割り当てることで、クラスタ設定への読み込み専用アクセスを設定する方法を示しています。または、手順12.4「監視の役割を追加して、crmshを持つユーザに割り当てる」で説明されているように、crmshを使用してこの操作を実行することもできます。
手順 12.2: Hawk2によるMonitor役割の追加 #
Hawk2にログインします。
https://HAWKSERVER:7630/
左のナビゲーションバーで、を選択します。
をクリックします。
固有なとして、
monitorなどを入力します。アクセスとして、
Readを選択します。として、XPath式
/cibを入力します。
をクリックします。
この操作は、
monitorの名前を持つ新しい役割を作成して、readの権利を設定し、XPath式/cibを使用してCIB内のすべての要素に適用します。必要に応じてプラスアイコンをクリックしてルールを追加し、個別のパラメータを指定します。
上矢印や下矢印のボタンを使用して、個別のルールをソートできます。
手順 12.3: Hawk2によるターゲットの役割割当 #
リソースや制約に対するアクセス権を設定するには、12.3.2項 「短縮によるACLルールの設定」で説明したように、短縮構文も使用できます。
12.5 crmshによるACLの設定 #
次の手順は、monitor役割を定義し、それをユーザに割り当てることで、クラスタ設定への読み込み専用アクセスを設定する方法を示しています。
手順 12.4: 監視の役割を追加して、crmshを持つユーザに割り当てる #
rootとしてログインします。crmshの対話モードを開始します。
root #crmconfigurecrm(live)configure#ACLの役割を次のとおり定義します。
roleコマンドを使用して、新しい役割を定義します。crm(live)configure#rolemonitor read xpath:"/cib"前のコマンドは、
monitorの名前を持つ新しい役割を作成して、readの権利を設定し、XPath式/cibを使用してCIB内のすべての要素に適用します。必要な場合は、アクセス権およびXPath引数をさらに追加できます。必要に応じてさらに役割を追加します。
役割を1つ以上のACLターゲットに割り当てます。このACLターゲットは、該当のシステムユーザです。これらのシステムユーザが
haclientグループに属していることを確認します。crm(live)configure#acl_targettux monitor変更を確認します:
crm(live)configure#show変更をコミットします:
crm(live)configure#commit
リソースや制約に対するアクセス権を設定するには、12.3.2項 「短縮によるACLルールの設定」で説明したように、短縮構文も使用できます。