pacemaker之ACL权限验证

最新推荐文章于 2022-06-14 22:13:25 发布
最新推荐文章于 2022-06-14 22:13:25 发布
阅读量382 收藏 1
点赞数
分类专栏: openEuler 高可用以及负载均衡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011153166/article/details/113251183
版权

acl作为pacemaker集群的一个可选特性,默认是处于disable状态

如果acl设置为disable状态,root用户和haclient组成员对cluster配置有全部的read/write 访问权限

如果acl设置为enable状态并且进行了acl配置,仅有root和hacluster用户对cluster配置有全部的read/write 访问权限

访问权限分为read,write,deny三种kind,对象可以是type,  ID reference, 或者 XPath 表达式

acl创建role,然后可以针对role添加、删除Permission,然后将role赋予操作系统中属于haclient用户组的系统用户

 

 

一 开启集群acl属性

pcs property --defaults | grep acl

pcs property set enable-acl=true --force  或者 pcs acl enable

pcs property | grep acl

二 创建角色

在集群节点hatest1上执行命令操作:

添加针对/cib的只读角色:

pcs acl role create read-only description="Read access to cluster" read xpath /cib

添加针对/cib的读写角色:

pcs acl role create write-access description="Full access" write xpath /cib

添加针对/cib/configuration的读写角色

pcs acl permission add write_config write xpath /cib/configuration

查看acl:

pcs acl

三 创建用户

在集群每个使用acl用户的节点上执行命令操作:

创建系统用户,规划一个只读用户,一个读写用户

id rouser 2>/dev/null || useradd -G haclient rouser

id rwuser 2>/dev/null || useradd -G haclient rwuser

passwd rouser

passwd rwuser

在集群节点hatest1上执行命令操作:

为rouser用户设置只读角色

pcs acl user create rouser read-only

为rwuser用户设置读写角色

pcs acl user create rwuser write-access

pcs acl role assign write_config to rwuser

查看acl用户

pcs acl

四 用户权限验证

在集群每个预期使用acl用户的节点上执行命令操作:

创建一个普通系统用户

id test 2>/dev/null || useradd test

在集群节点hatest1上执行命令操作:

验证普通用户

su - test

pcs acl

exit

验证rouser用户

su - rouser

pcs acl

pcs client local-auth

pcs status

pcs property set stonith-enabled=true

exit

验证rwuser用户

su - rwuser

pcs acl

pcs client local-auth

pcs status

pcs property | grep stonith-enabled

pcs property set stonith-enabled=true

pcs property | grep stonith-enabled

exit

五 cib文件内容

对/cib存在权限就是对整个

<cib>....</cib>

内容存在权限

对/cib/configuration存在权限就是对configuration之间的区域存在权限

<cib>

  <configuration>

....

  </configuration>

</cib>

# pcs cluster cib
<cib crm_feature_set="3.4.1" validate-with="pacemaker-3.4" epoch="27" num_updates="8" admin_epoch="0" cib-last-written="Wed Jan 27 15:27:17 2021" update-origin="hatest1" update-client="cibadmin" update-user="root" have-quorum="1" dc-uuid="2">
  <configuration>
    <crm_config>
      <cluster_property_set id="cib-bootstrap-options">
        <nvpair id="cib-bootstrap-options-have-watchdog" name="have-watchdog" value="false"/>
        <nvpair id="cib-bootstrap-options-dc-version" name="dc-version" value="2.0.4-6.oe1-2deceaa3ae"/>
        <nvpair id="cib-bootstrap-options-cluster-infrastructure" name="cluster-infrastructure" value="corosync"/>
        <nvpair id="cib-bootstrap-options-cluster-name" name="cluster-name" value="hacluster"/>
        <nvpair id="cib-bootstrap-options-no-quorum-policy" name="no-quorum-policy" value="ignore"/>
        <nvpair id="cib-bootstrap-options-enable-acl" name="enable-acl" value="true"/>
        <nvpair id="cib-bootstrap-options-stonith-enabled" name="stonith-enabled" value="false"/>
      </cluster_property_set>
    </crm_config>
    <nodes>
      <node id="1" uname="hatest1"/>
      <node id="2" uname="hatest2"/>
    </nodes>
    <resources>
      <primitive class="ocf" id="dummy" provider="heartbeat" type="Dummy">
        <operations>
          <op id="dummy-migrate_from-interval-0s" interval="0s" name="migrate_from" timeout="20s"/>
          <op id="dummy-migrate_to-interval-0s" interval="0s" name="migrate_to" timeout="20s"/>
          <op id="dummy-monitor-interval-10s" interval="10s" name="monitor" timeout="20s"/>
          <op id="dummy-reload-interval-0s" interval="0s" name="reload" timeout="20s"/>
          <op id="dummy-start-interval-0s" interval="0s" name="start" timeout="20s"/>
          <op id="dummy-stop-interval-0s" interval="0s" name="stop" timeout="20s"/>
        </operations>
      </primitive>
    </resources>
    <constraints/>
    <acls>
      <acl_role description="Read access to cluster" id="read-only">
        <acl_permission id="read-only-read" kind="read" xpath="/cib"/>
      </acl_role>
      <acl_role description="Full access" id="write-access">
        <acl_permission id="write-access-write" kind="write" xpath="/cib"/>
      </acl_role>
      <acl_target id="rouser">
        <role id="read-only"/>
      </acl_target>
      <acl_target id="rwuser">
        <role id="write-access"/>
        <role id="write_config"/>
      </acl_target>
      <acl_role id="write_config">
        <acl_permission id="write_config-write" kind="write" xpath="/cib/configuration"/>
      </acl_role>
    </acls>
  </configuration>
  <status>
    <node_state id="2" uname="hatest2" in_ccm="true" crmd="online" crm-debug-origin="do_update_resource" join="member" expected="member">
      <lrm id="2">
        <lrm_resources>
          <lrm_resource id="dummy" type="Dummy" class="ocf" provider="heartbeat">
            <lrm_rsc_op id="dummy_last_0" operation_key="dummy_monitor_0" operation="monitor" crm-debug-origin="do_update_resource" crm_feature_set="3.4.1" transition-key="2:123:7:d7de0b72-3f6a-40f6-9326-6a11e81ceed0" transition-magic="0:7;2:123:7:d7de0b72-3f6a-40f6-9326-6a11e81ceed0" exit-reason="" on_node="hatest2" call-id="5" rc-code="7" op-status="0" interval="0" last-rc-change="1611732437" last-run="1611732437" exec-time="15" queue-time="0" op-digest="f2317cad3d54cec5d7d7aa7d0bf35cf8" op-force-restart=" state " op-restart-digest="f2317cad3d54cec5d7d7aa7d0bf35cf8"/>
          </lrm_resource>
        </lrm_resources>
      </lrm>
    </node_state>
    <node_state id="1" uname="hatest1" in_ccm="true" crmd="online" crm-debug-origin="do_update_resource" join="member" expected="member">
      <lrm id="1">
        <lrm_resources>
          <lrm_resource id="dummy" type="Dummy" class="ocf" provider="heartbeat">
            <lrm_rsc_op id="dummy_last_0" operation_key="dummy_start_0" operation="start" crm-debug-origin="do_update_resource" crm_feature_set="3.4.1" transition-key="3:123:0:d7de0b72-3f6a-40f6-9326-6a11e81ceed0" transition-magic="0:0;3:123:0:d7de0b72-3f6a-40f6-9326-6a11e81ceed0" exit-reason="" on_node="hatest1" call-id="6" rc-code="0" op-status="0" interval="0" last-rc-change="1611732437" last-run="1611732437" exec-time="17" queue-time="0" op-digest="f2317cad3d54cec5d7d7aa7d0bf35cf8" op-force-restart=" state " op-restart-digest="f2317cad3d54cec5d7d7aa7d0bf35cf8"/>
            <lrm_rsc_op id="dummy_monitor_10000" operation_key="dummy_monitor_10000" operation="monitor" crm-debug-origin="do_update_resource" crm_feature_set="3.4.1" transition-key="4:123:0:d7de0b72-3f6a-40f6-9326-6a11e81ceed0" transition-magic="0:0;4:123:0:d7de0b72-3f6a-40f6-9326-6a11e81ceed0" exit-reason="" on_node="hatest1" call-id="7" rc-code="0" op-status="0" interval="10000" last-rc-change="1611732437" exec-time="13" queue-time="0" op-digest="4811cef7f7f94e3a35a70be7916cb2fd"/>
          </lrm_resource>
        </lrm_resources>
      </lrm>
    </node_state>
  </status>
</cib>

丈青山
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SLES Pacemaker
05-20
SLES Pacemaker SLES Pacemaker SLES Pacemaker SLES Pacemaker
acl权限验证
momDIY的博客
07-21 2344
acl(Access control lists):存取控制清单。(基于node-npm) 主要用于不同身份角色对于不同资源的不同操作的权限管理
ACL权限处理
JavaMan_chen的专栏
11-01 5099
ACL的全称是Access Control List,翻译成中文是访问控制列表,一般用来描述某一权限下的用户授权情况 将权限信息封装成字节数组,通过位运算来处理授权和权限校验的业务逻辑,代码示例如下: public class PrivilegeService { /** * 权限字节数组 * 一个byte等于8bit,一个bit表示一个user的权限(0表示无权限,1表示有权限
权限管理之基于ACL的实现:讲解授权、认证、获得用户权限过程
445822357
08-20 392
权限管理模块的实现,需要多个用例:管理模块信息、管理用户信息、管理角色信息、给用户分配角色、给角色授权、给用户授权、获取用户授权列表、判断用户对某个模块的某操作是否允许授权 其中比较重要的是:授权、认证、获得用户拥有的所有授权。下面一一介绍: 授权过程 就是把系统现有模块授权给用户或角色 授权与取消授权的实现代码: public void setPermission(int pe...
ACL 模型
Java技术点滴
11-03 1313
基于ACL的实现 ACL介绍 ACL全称Access Control List,在ACL中,包含用户(User)、资源(Resource)、资源操作(Operation)三个关键要素。通过将资源以及资源操作授权给用户而使用户获取对资源进行操作的权限,模型如下图所示:图表 1 ACL模型实现方案 通过上面对ACL模型的介绍,可以
网络配置之ACL实验
Hugu
03-02 822
文章目录实验拓扑实验要求实验过程0x01 基础配置0x02 应用于服务器的ACL0x03 远程管理的配置0x04 应用于三层交换机的ACL实验总结附录 实验拓扑 实验要求 拒绝192.168.1.96/27访问FTP 拒绝192.168.161/27访问FTP符 拒绝192.168.1.128/27访问Web服务 允许其他所有访问 附加: 拒绝192.168.1.2/27访问192.168.1.32/27网段 只允许192.168.1.1/27主机可以telnet三层交换机
pacemaker搭建集群.pdf
01-15
超详细-kvm虚拟机搭建pacemaker集群: 一.Linux 下 yum 本地源配置 二.创建两台 KVM 虚拟机 三.配置两台 KVM 虚拟机 四. 在 KVM 虚拟机上安装集群软件 常用的命令汇总
pacemaker-master.rar
05-21
Pacemaker是一个集群资源管理器。它利用集群基础构件(OpenAIS 、heartbeat或corosync)提供的消息和成员管理能力来探测并从节点或资源级别的故障中恢复,以实现群集服务(亦称资源)的最大可用性。源码主要由C,...
Pacemaker高可用原理
07-06
在redhat7以后发行版中,红帽公司将rhel6之前的RHCS集群套件改成了Corosync+pacemaker的方式
pacemaker crmsh包
12-27
pacemaker crmsh包 依赖: crmsh-3.0.0-6.1.noarch.rpm crmsh-scripts-3.0.0-6.1.noarch.rpm python-parallax-1.0.1-28.1.noarch.rpm python-pssh-2.3.1-7.1.noarch.rpm
openEuler 22.03 LTS 配置tigervnc使用xfce图形界面
u011153166的博客
02-19 3651
一 环境准备 # cat /etc/openEuler-release openEuler release 22.03 LTS # uname -a Linux test-aarch64 5.10.0-54.0.0.27.oe1.aarch64 #1 SMP Mon Feb 14 01:47:27 UTC 2022 aarch64 aarch64 aarch64 GNU/Linux # rpm -qa |grep tigervnc-server tigervnc-server-minimal-1.12
openEuler  20.03上部署OBS客户端osc,并通过openeuler-build进行编译
u011153166的博客
04-27 2134
一 操作系统版本openEuler 20.03 ---------------------------------------------------------------------------------------------- # cat /etc/openEuler-release openEuler release 20.03 (LTS) [root@openeuler-tes...
openEuler-iso百度网盘下载地址
u011153166的博客
04-03 1998
所有下载资源来自于http://repo.openeuler.org openEuler 20.03 LTS SP1 openEuler 21.03 百度网盘下载链接: 链接:https://pan.baidu.com/s/1kS8o9nEPMmIFUIMrdQ7xhg 提取码:44k1 复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V4的分享 ...
openEuler 20.03 LTS SP1 使用alien转换rpm和deb包
u011153166的博客
02-09 1728
Debian的DEB与redhat的RPM,是linux下比较经典的两种软件二进制安装包格式. 使用alien可以实现这两种格式之间的互换. 一 os环境 # cat /etc/openEuler-release openEuler release 20.03 (LTS-SP1) # uname -r 4.19.90-2012.5.0.0054.oe1.x86_64 # cat /etc/yum.repos.d/openEuler.repo [everything] name=everythin.
pacemaker之fence_xvm:libvirtd
u011153166的博客
02-01 978
FENCE设备可以分为两种:内部FENCE和外部FENCE,常用的内部FENCE有IBM RSAII卡,HP的iLO卡,还有IPMI的设备等,外部fence设备有UPS、SANSWITCH、NETWORKSWITCH等 本示例针对libvirtd的虚拟机,宿主机为linux。 一 os环境 虚拟机系统为openEuler 20.03 LTS SP1 aarch64 # cat /etc/openEuler-release openEuler release 20.03 (LTS-SP1) # una
pacemaker之三节点drbd(单primary)
u011153166的博客
02-02 654
本文档用于测试三节点drbd在pacemaker中的配置。 同一时间仅有一个节点/dev/drbd0为primary,使用drbd9的auto-promote特性,根据场景自动在primary和secondary角色中切换。 一 os环境 准备三个操作系统环境,每个系统两个网卡,一个单独用于drbd的磁盘 # cat /etc/openEuler-release openEuler release 20.03 (LTS-SP1) # uname -a Linux test3 4.19.90-2012.
pacemaker之fence_kdump
u011153166的博客
01-29 589
fence_kdump一般用off替代reboot,会保存crash状态,把节点隔离,把资源切换到可用节点 作为level 1的隔离策略,后边可以添加level 2的电源级别的隔离策略 一 环境确认 每个集群节点上确认kdump开启状态 systemctl is-enabled kdump rpm -q fence-agents-kdump 二 配置stonith属性 在集群节点hatest1上执行命令操作: pcs property --all | grep stonith .
gitee上传超过300M的openEuler源码包文件-20220615
u011153166的博客
06-14 480
openEuler的gitee仓库中上传超过300M的firefox源码文件
pacemaker 命令
最新发布
08-19
pacemaker 是一个用于高可用性集群的软件,它可以管理和监控集群中的资源和服务。以下是一些常用的 pacemaker 命令: 1. 启动 pacemaker 服务: systemctl start pacemaker 2. 停止 pacemaker 服务: systemctl ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值