
<br><br><div class="gmail_quote">On Sun, Dec 11, 2011 at 5:01 PM, Tim Serong <span dir="ltr"><<a href="mailto:tserong@suse.com">tserong@suse.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div class="im">On 12/10/2011 10:35 AM, Larry Brigman wrote:<br>

</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">

On Fri, Dec 9, 2011 at 3:19 PM, Andreas Kurz <<a href="mailto:andreas@hastexo.com" target="_blank">andreas@hastexo.com</a><br></div><div><div class="h5">

<mailto:<a href="mailto:andreas@hastexo.com" target="_blank">andreas@hastexo.com</a>>> wrote:<br>

<br>

    Hello Larry,<br>

<br>

    On 12/09/2011 11:15 PM, Larry Brigman wrote:<br>

     > I have installed pacemaker 1.1.5 and configure ACLs based on the<br>

    info from<br>

     > <a href="http://www.clusterlabs.org/doc/acls.html" target="_blank">http://www.clusterlabs.org/<u></u>doc/acls.html</a><br>

     ><br>

     > It looks like the user still does not have read access.<br>

     ><br>

     > Here is the acl section of config<br>

     > <acls><br>

     > <acl_role id="monitor"><br>

     > <read id="monitor-read" xpath="/cib"/><br>

     > </acl_role><br>

     > <acl_user id="nvs"><br>

     > <role_ref id="monitor"/><br>

     > </acl_user><br>

     > <acl_user id="acm"><br>

     > <role_ref id="monitor"/><br>

     > </acl_user><br>

     > </acls><br>

     ><br>

     > Here is what the user is getting:<br>

     > [nvs@sweng0057 ~]$ crm node show<br>

     > Signon to CIB failed: connection failed<br>

     > Init failed, could not perform requested operations<br>

     > ERROR: cannot parse xml: no element found: line 1, column 0<br>

     > [nvs@sweng0057 ~]$ crm status<br>

     ><br>

     > Connection to cluster failed: connection failed<br>

     ><br>

     ><br>

     > Any ideas as to why this wouldn't work and what to fix?<br>

<br>

    If you really followed exactly the guide ... did you check user nvs<br>

    already is in group "haclient"?<br>

<br>

Thought of that.<br>

<br>

Adding the user to the haclient group removes any restrictions as I was<br>

able to<br>

write to the config without error.<br>

</div></div></blockquote>

<br>

Did you set "crm configure property enable-acl=true"?  Without this, all users in the haclient group have full access.<br>

<br></blockquote></div><br>That was the second setting I added or changed.  The first was the schema to pacemaker-1.1.<br>Exactly like the acl page.  I verified that both the schema and acl were configured in with a dump of the xml.<br>

<br><br>