SUSE Linux Enterprise High Availability Extensionドキュメント › 管理ガイド › 設定および管理 › アクセス制御リスト
コンテンツコンテンツ
管理ガイド
  1. このガイドについて
  2. I インストールおよびセットアップ
    1. 1 製品の概要
    2. 2 システム要件と推奨事項
    3. 3 インストールと基本セットアップ
  3. II 設定および管理
    1. 4 設定および管理の基本事項
    2. 5 クラスタリソースの設定と管理(Webインタフェース)
    3. 6 クラスタリソースの設定と管理(コマンドライン)
    4. 7 リソースエージェントの追加または変更
    5. 8 フェンシングとSTONITH
    6. 9 アクセス制御リスト
    7. 10 ネットワークデバイスボンディング
    8. 11 負荷バランス
    9. 12 Geoクラスタ(マルチサイトクラスタ)
  4. III ストレージおよびデータレプリケーション
    1. 13 OCFS2
    2. 14 GFS2
    3. 15 DRBD
    4. 16 Cluster Logical Volume Manager(cLVM)
    5. 17 ストレージ保護
    6. 18 Sambaクラスタリング
    7. 19 Rear (Relax-and-Recover)による障害復旧
  5. IV 付録
    1. A トラブルシューティング
    2. B 命名規則
    3. C クラスタ管理ツール
    4. D クラスタアップグレードとソフトウェアパッケージの更新
    5. E マニュアルの更新
  6. 用語集
  7. F GNU Licenses
ナビゲーション
SUSE Linux Enterprise High Availability Extensionドキュメント › 管理ガイド › 設定および管理 › アクセス制御リスト
トップへ
適用先 SUSE Linux Enterprise High Availability Extension 12

9 アクセス制御リスト

9.1 要件と前提条件
9.2 クラスタでのACLの使用の有効化
9.3 ACLの基\'96\'7b事項
9.4 HawkによるACLの設定
9.5 crmshによるACLの設定
9.6 詳細

crmシェル(crmsh)またはHawkなどのクラスタ管理ツールは、rootユーザまたはhaclientグループ内のユーザが使用できます。デフォルトで、これらのユーザは完全な読み込み/書き込みのアクセス権を持ちます。アクセスを制限するか、または詳細なアクセス権を割り当てるには、「アクセス制御リスト」(ACL)を使用できます。

アクセス制御リストは、順序付けされたアクセスルールセットで構成されています。各ルールにより、クラスタ設定の一部への読み込みまたは書き込みアクセスの許可、またはアクセスの拒否が行われます。ルールは通常、組み合わせて特定の役割を生成し、ユーザを自分のタスクに一致する役割に割り当てることができます。

9.1 要件と前提条件

クラスタでACLの使用を開始する前に、次の条件が満たされていることを確認します。

  • NIS、Active Directoryを使用するか、またはすべてのノードに同じユーザを手動で追加して、クラスタ内のすべてのノード上に同じユーザがいることを確認します。

  • ACLでアクセス権を変更したいすべてのユーザがhaclientグループに属している必要があります。

  • すべてのユーザが絶対パス/usr/sbin/crmでcrmshを実行する必要があります。

  • 権限のないユーザがcrmshを実行する場合は、/usr/sbinを使用して、PATH変数を展開する必要があります。

重要
重要: デフォルトのアクセス権

  • ACLはオプションの機能です。デフォルトでは、ACLの使用は無効になっています。

  • ACL機能が無効化された場合、rootおよびhaclientグループに属するすべてのユーザは、クラスタ設定への完全な読み込み/書き込みアクセス権を持ちます。

  • ACLが有効化され、設定される場合でも、rootおよびデフォルトのCRM所有者haclientは両方とも、「常に」クラスタ設定への完全なアクセス権を持ちます。

ACLを使用するには、XPathに関するいくらかの知識が必要になります。XPathはXMLドキュメントでノードを選択するための言語です。http://en.wikipedia.org/wiki/XPathを参照するか、http://www.w3.org/TR/xpath/の仕様を確認してください。

9.2 クラスタでのACLの使用の有効化

ACLの設定を開始する前に、ACLの使用を「有効にする」必要があります。有効にするには、crmshで次のコマンドを使用します。

root # crm configure property enable-acl=true

または、手順9.1「HawkでのACLの使用の有効化」で説明するように、Hawkを使用します。

手順 9.1 HawkでのACLの使用の有効化

  1. 5.1.1項 「Hawkの起動とログイン」で説明したように、Webブラウザを起動してクラスタにログインします。

  2. 左のナビゲーションバーで、クラスタのプロパティを選択します。

  3. CRMの環境設定グループで、空のドロップダウンボックスからenable-acl属性を選択し、プラスアイコンをクリックして追加します。

  4. enable-acl=trueを設定するには、enable-aclの隣のチェックボックスをオンにして、変更内容を確認します。

9.3 ACLの基\'96\'7b事項

アクセス制御リストは、順序付けされたアクセスルールセットで構成されています。各ルールにより、クラスタ設定の一部への読み込みまたは書き込みアクセスの許可、またはアクセスの拒否が行われます。ルールは通常、組み合わせて特定の役割を生成し、ユーザを自分のタスクに一致する役割に割り当てることができます。ACLの役割はCIBへのアクセス権を表すルールのセットです。ルールは次の要素で構成されています。

  • readwrite、またはdenyのようなアクセス権。

  • ルールを適用する場所の指定。この指定には、タグやID参照、これら両方の組み合わせ、またはXPath式を使用できます。

通常、ACLを役割にバンドルし、ユーザに特定の役割を割り当てると便利です。個々のユーザにACLを直接設定することもできます。

ACLルールを作成するためには、次の2つの方法があります。

9.3.1 XPath式によるACLルールの設定

XPathによってACLルールを管理するには、その記述言語であるXMLの構造を理解している必要があります。XMLでクラスタ設定を表示する次のコマンドで構造を取得します(例9.1「XML内のクラスタ設定の例」を参照)。 

root # crm configure show xml
例 9.1 XML内のクラスタ設定の例 
<num_updates="59" 
      dc-uuid="175704363"
      crm_feature_set="3.0.9"
      validate-with="pacemaker-2.0"
      epoch="96"
      admin_epoch="0"
      cib-last-written="Fri Aug  8 13:47:28 2014"
      have-quorum="1">
  <configuration>
    <crm_config>
       <cluster_property_set id="cib-bootstrap-options">
        <nvpair name="stonith-enabled" value="true" id="cib-bootstrap-options-stonith-enabled"/>
        <nvpair name="no-quorum-policy" value="ignore" id="cib-bootstrap-options-no-quorum-policy"/>
         [...]
      </cluster_property_set>
    </crm_config>
    <nodes>
      <node id="175704363" uname="alice"/>
      <node id="175704619" uname="bob"/>
    </nodes>
    <resources> [...]  </resources>
    <constraints/>
    <rsc_defaults> [...] </rsc_defaults>
    <op_defaults> [...] </op_defaults>
  <configuration>
</cib>

XPath言語を使用して、このXMLドキュメント内のノードを見つけることができます。たとえば、ルートノード(cib)を選択するには、XPath式/cibを使用します。グローバルクラスタ設定を見つけるには、XPath式/cib/configuration/crm_configを使用します。

一例として、表9.1「オペレータ役割 - アクセスタイプおよびXPath式」は、オペレータの役割を作成するためのパラメータ(アクセスタイプおよびXPath式)を示しています。この役割を持つユーザは、2番目の列で説明されるタスクのみ実行することができ、リソースを再構成することはできません(たとえば、パラメータや操作の変更など)。また、コロケーションや順序の制約の設定を変更することもできません。

表 9.1 オペレータ役割 - アクセスタイプおよびXPath式

タイプ

XPath/説明

書き込み 

//crm_config//nvpair[@name='maintenance-mode']

保守モードをオンまたはオフにします。

書き込み 

//op_defaults//nvpair[@name='record-pending']

保留中の操作を記録するかを選択します。

書き込み 

//nodes/node//nvpair[@name='standby']

ノードをオンラインまたはスタンバイモードで設定します。

書き込み 

//resources//nvpair[@name='target-role']

リソースを開始、停止、昇格または降格します。

書き込み 

//resources//nvpair[@name='is-managed']

リソースを管理するか、しないかを選択します。

書き込み 

//constraints/rsc_location

リソースをノードから別のノードにマイグレート/移動します。

読み込み 

/cib

クラスタのステータスを表示します。

9.3.2 タグの短縮によるACLルールの設定

XML構造を扱いたくないユーザ向には、より簡単な方法があります。それは、タグ指示子および/または参照の組み合わせです。

たとえば、次のXPathを検討します。 

/cib/resources/primitive[@id='rsc1']

プリミティブは参照rsclを持つリソースです。短縮構文は次のとおりです。 

tag: "primitive"  ref:"rsc1"

これは制約にも使用できます。これが冗長なXPathです。 

/cib/constraint/rsc_location

短縮構文はこのように書かれます。 

tag: "rsc_location"

短縮構文はcrmshおよびHawkで使用できます。CIBデーモンは一致するオブジェクトにACLルールを適用する方法を認識しています。

9.4 HawkによるACLの設定

次の手順は、monitor役割を定義し、それをユーザに割り当てることで、クラスタ設定への読み込み専用アクセスを設定する方法を示しています。または、手順9.3「監視の役割を追加して、crmshを持つユーザに割り当てる」で説明されているように、crmshを使用してこの操作を実行することもできます。

手順 9.2 監視の役割を追加して、Hawkを持つユーザに割り当てる

  1. 5.1.1項 「Hawkの起動とログイン」で説明したように、Webブラウザを起動してクラスタにログインします。

  2. 左のナビゲーションバーで、アクセス制御リストを選択します。このビューには、すでに定義済みの役割ユーザが表示されます。

  3. ACLの役割を定義するには、次のとおり実行します。

    1. 役割カテゴリを選択し、プラスアイコンをクリックします。

    2. 固有な役割IDとして、monitorなどを入力します。

    3. monitor役割を定義する例として、ドロップダウンボックスからreadを選択します。

    4. Xpathテキストボックスに、Xpath式/cibを入力し、役割の作成をクリックします。

      この操作は、monitorの名前を持つ新しい役割を作成して、readの権利を設定し、XPath式/cibを使用してCIB内のすべての要素に適用します。

    5. 必要に応じて、プラスアイコンをクリックして各パラメータを指定し、さらにアクセス権およびXPath引数を追加できます。変更内容を確認します。

  4. 次のようにユーザに役割を割り当てます。

    1. ユーザカテゴリを選択し、プラスアイコンをクリックします。

      ユーザの作成ビューに使用可能な役割が表示されます。このビューにはそのユーザの個別ACLルールを設定するための追加の行も含まれます。このビューでは、ユーザに1つまたは複数の役割を割り当てたり、ユーザに1つ以上の個別ルールを定義することもできます。役割を選択すると、個別ルールの行が非表示となり、その逆も同様になります。役割と個別ルールを割り当てることはできません。

    2. 固有なユーザIDとして、tuxなどを入力します。このユーザがhaclientグループに属することを確認します。

    3. ユーザに役割を割り当てるには、役割から各エントリを選択します。例では、作成したmonitor役割を選択します。

      1つまたは複数の役割を選択解除するには、各エントリをもう一度クリックします。役割が選択されていない場合は、個別ルールを定義するための行が再表示されます。

      Hawk—役割またはルールのユーザへの割り当て
      図 9.1 Hawk—役割またはルールのユーザへの割り当て

    4. 代わりに個別ルールを定義する場合は、を選択し、ルールに対する各Xpathパラメータを入力します。追加のルールを定義するには、プラスアイコンをクリックします。

    5. 選択内容を確認し、ユーザの作成をクリックしてユーザに役割またはルールを割り当てます。

リソースや制約に対するアクセス権を設定するには、9.3.2項 「タグの短縮によるACLルールの設定」で説明したように、短縮構文も使用できます。たとえば、ID rsc1を持つプリミティブリソースがある場合は、タグおよび参照primitiveおよびrsc1の値を入力します。参照としてrsc1のみを入力する場合は、プリミティブリソースおよびローカルリソースマネージャリソース(LRM)に一致させることができるという利点があります。これにより、rsc1の設定とそのステータスのクリーンアップを同時に行うことができます。

9.5 crmshによるACLの設定

次の手順は、monitor役割を定義し、それをユーザに割り当てることで、クラスタ設定への読み込み専用アクセスを設定する方法を示しています。

手順 9.3 監視の役割を追加して、crmshを持つユーザに割り当てる

  1. rootとしてログインします。

  2. crmshの対話モードを開始します。 

    root # crm configure
crm(live)configure#

  3. ACLの役割を次のとおり定義します。

    1. roleコマンドを使用して、新しい役割を定義します。

      crm(live)configure# role monitor read xpath:"/cib"

      前のコマンドは、monitorの名前を持つ新しい役割を作成して、readの権利を設定し、XPath式/cibを使用してCIB内のすべての要素に適用します。必要な場合は、アクセス権およびXPath引数をさらに追加できます。

    2. 必要に応じてさらに役割を追加します。

  4. 役割を1人または複数のユーザに割り当てます。ユーザがhaclientグループに属していることを確認します。 

    crm(live)configure# acl_target tux monitor

  5. 変更を確認します: 

    crm(live)configure# show

  6. 変更をコミットします: 

    crm(live)configure# commit

リソースや制約に対するアクセス権を設定するには、9.3.2項 「タグの短縮によるACLルールの設定」で説明したように、短縮構文も使用できます。ID rsclを持つプリミティブリソースがある場合、次の表記を使用して、アクセス権を設定します:書き込みタグ :"primitive" 参照:"rsc1"書き込み参照:"rsc1"を持つIDを参照することもできます。これには、プリミティブリソースおよびローカルリソースマネージャリソース(LRM)に一致させることができるという利点があります。これにより、rsc1の設定とそのステータスのクリーンアップを同時に行うことができます。

9.6 詳細

http://www.clusterlabs.org/doc/acls.htmlを参照してください。

第10章 ネットワークデバイスボンディング第8章 フェンシングとSTONITH
このページを印刷

© 2015 SUSE