2. 程式人生 > 實用技巧 >配置zookeeper的 ACL許可權

配置zookeeper的 ACL許可權

阿新 發佈:2020-07-16

一、簡介

以下是從官網摘抄的,官網地址:https://zookeeper.apache.org/doc/r3.4.13/zookeeperProgrammers.html#sc_ZooKeeperAccessControl
ZooKeeper使用ACL來控制對其znode(ZooKeeper資料樹的資料節點)的訪問。ACL實現與UNIX檔案訪問許可權非常相似:它使用許可權位來允許/禁止針對節點及其所應用範圍的各種操作。與標準UNIX許可權不同,ZooKeeper節點不受使用者(檔案所有者),組和環境(其他)的三個標準範圍的限制。ZooKeeper沒有znode所有者的概念。而是,ACL指定一組ID和與這些ID關聯的許可權。

還請注意,ACL僅與特定的znode有關。特別是它不適用於兒童。例如,如果 / app僅可被ip:172.16.16.1讀取,並且 / app / status是世界可讀的,則任何人都可以讀取/ app / status;ACL不是遞迴的。

ZooKeeper支援可插入身份驗證方案。使用格式scheme:id來指定ID,其中scheme是ID對應的身份驗證方案。例如,ip:172.16.16.1是地址為172.16.16.1的主機的ID 。

當客戶端連線到ZooKeeper並對其進行身份驗證時,ZooKeeper會將與該客戶端相對應的所有ID與該客戶端連線相關聯。當客戶端嘗試訪問節點時,將根據znodes的ACL檢查這些ID。ACL由(scheme:expression,perms)對組成。表示式的格式特定於該方案。例如,該對(ip:19.22.0.0/16,READ) 為IP地址以19.22開頭的任何客戶端提供READ許可權。

二、支援的許可權型別

  • CREATE:可以建立一個子節點
  • READ:可以從節點獲取資料並列出其子節點。
  • WRITE:可以為節點設定資料
  • DELETE:可以刪除一個子節點
  • admin:可以設定許可權

三、內嵌的ACL Schemes

  • world:所有者可以訪問,預設許可權
  • auth: 不使用任何ID,代表任何經過身份驗證的使用者。
  • digest: 使用使用者名稱:密碼字串生成MD5雜湊,然後將其用作ACL ID身份。通過以明文形式傳送username:password來完成認證。在ACL中使用時,表示式將是username:base64 編碼的SHA1 密碼摘要
  • ip/域名: 使用客戶端主機IP作為ACL ID身份。
  • super: 超級許可權

四、許可權測試

設定的格式說明:ACL的格式由::三段組成。

1、預設許可權

[zk: 127.0.0.1(CONNECTED) 63] getAcl /
'world,'anyone  
: cdrwa

其中cdrwa為CREATE,DELETE,READ,WRITE,ADMIN許可權的縮寫名稱
預設許可權代表所有的客戶端都可以正常訪問zookeeper,其中的schema為world(全世界),id只能為anyone

2、auth許可權
這種授權不針對任何特點ID,而是對所有已經新增認證的使用者。也就是說在進行設定ACL的時候,不用設定id值。
這種方式是以明文密碼的方式來進行配置ACL的
使用方式

addauth digest <user>:<password> 
setAcl <path> auth:<id>:<acl>

示例:

[zk: 127.0.0.1(CONNECTED) 75] create /test1 '123'  #建立測試znode
[zk: 127.0.0.1(CONNECTED) 75] addauth digest user:password
[zk: 127.0.0.1(CONNECTED) 79] setAcl /test1 auth:user:password:r #設定當前路徑的ACL許可權,預設的user:password可以不用寫,也就是 setAcl /test1 auth::r 這樣,如果新增多個addauth,那麼所有新增的使用者對於改路徑都有許可權
[zk: 127.0.0.1(CONNECTED) 80] getAcl /test1          # 檢視許可權,可以發現對於user:password 這個使用者只有r許可權,同時檢視許可權的時候,發現密碼已經經過加密處理了。        
'digest,'user:tpUq/4Pn5A64fVZyQ0gOJ8ZWqkY=
: r

切換一個zookeeper的終端進行測試;

[zk: localhost:2181(CONNECTED) 2] addauth digest user:password     # 切換到auth上下文環境
① 開始測試讀許可權
[zk: 127.0.0.1(CONNECTED) 81] ls /test1
[]
[zk: 127.0.0.1(CONNECTED) 82] get /test1
123

② 測試write許可權
[zk: localhost:2181(CONNECTED) 4] set /test1 '124'
Authentication is not valid : /test1  # 發現是沒有寫許可權的

③ 測試create許可權
[zk: localhost:2181(CONNECTED) 5] create /test1/test11 '123'
Authentication is not valid : /test1/test11

④ 測試delete許可權
[zk: localhost:2181(CONNECTED) 12] delete /test1   # 額,居然有delete許可權
[zk: localhost:2181(CONNECTED) 13]

⑤ 測試 admin許可權,這個許可權並不是代表管理員的許可權,僅僅只是是否有重新進行設定ACL的許可權
[zk: localhost:2181(CONNECTED) 20] setAcl /test1 auth:user:password:ra
Authentication is not valid : /test1

3、digest
以加密的密碼進行許可權認證
使用方法

setAcl <path> digest:<user>:<password(密文)>:<acl>

密碼的生成方式

echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64

eg:

(base) [root@localhost rsnmp]# echo -n testuser:12345 | openssl dgst -binary -sha1 | openssl base64
JAQXSDtqvFF3tJximvqJpWHdlBY=  # 這就是加密的密碼

或者

java -cp /zookeeper-3.4.13/zookeeper-3.4.13.jar:/zookeeper-3.4.13/lib/slf4j-api-1.7.25.jar \
  org.apache.zookeeper.server.auth.DigestAuthenticationProvider \
  root:root

測試

[zk: localhost:2181(CONNECTED) 11] create /test2 '123'
Created /test2
[zk: localhost:2181(CONNECTED) 12] setAcl /test2 digest:testuser:JAQXSDtqvFF3tJximvqJpWHdlBY=:r

4、ip認證
也就是白名單
用法

setAcl path ip:ip地址:許可權

eg:

[zk: localhost:2181(CONNECTED) 15] create /test3 '123'
Created /test3
[zk: localhost:2181(CONNECTED) 16] setAcl /test3 ip:127.0.0.1:cdrwa,ip:192.168.0.235:cdrwa
[zk: localhost:2181(CONNECTED) 17] getAcl /test3
'ip,'127.0.0.1
: cdrwa
'ip,'192.168.0.235
: cdrwa

5、super
超級管理員許可權,當在zookeeper裡面配置很多的許可權認證,也可能很多時候密碼什麼的都會忘記了,這時候可以設定super許可權,來管理
假設這個超管是:super:admin
生成加密密碼

(base) [root@localhost rsnmp]# echo -n super:admin | openssl dgst -binary -sha1 | openssl base64
xQJmxLMiHGwaqBvst5y6rkB6HQs=

配置zookeeper的zkServer.sh檔案

需要新增:

"-Dzookeeper.DigestAuthenticationProvider.superDigest=super:xQJmxLMiHGwaqBvst5y6rkB6HQs="  #注:super後面的是生成的加密密碼

重啟zookeeper

[zk: localhost:2181(CONNECTED) 20] ls /test
Authentication is not valid : /test
[zk: localhost:2181(CONNECTED) 21] addauth digest super:admin   #切換到超級管理員的上下文
[zk: localhost:2181(CONNECTED) 22] ls /test                  
[test2, test1]
[zk: localhost:2181(CONNECTED) 23] delete /test/test1
[zk: localhost:2181(CONNECTED) 24] set /test/test2 '555'

如果hadoop需要連線帶有ACL的zookeeper,需要配置相關的引數
借鑑:
https://blog.csdn.net/u010900754/article/details/78498291
https://www.jianshu.com/p/392248ab27f4
https://blog.csdn.net/qq_35440040/article/details/87911394 # hadoop配置zookeeper ACL

相關推薦

Zookeeper ACL許可權配置及zkclient示例

zk做為分散式架構中的重要中介軟體,通常會在上面以節點的方式儲存一些關鍵資訊,預設情況下,所有應用都可以讀寫任何節點,在複雜的應用中,這不太安全,ZK通過ACL機制來解決訪問許可權問題,詳見官網文件:http://

配置RocketMQ ACL許可權

==環境== 系統:Linux Centos7.2 RocketMQ版本:4.6.1 ==叢集形態== ==修改前配置檔案== broker-a.properties

zookeeper ACL許可權控制、未新增本機

今天給zookeeper新增Acl許可權控制遇到兩個大坑 進入zookeeper內執行 getAcl / 檢視當前許可權,得到的結果是world,anyone:cdrwa,說明是具有所有許可權,此時具有未授權漏洞的風險,

配置zookeeperACL許可權

一、簡介 以下是從官網摘抄的,官網地址:https://zookeeper.apache.org/doc/r3.4.13/zookeeperProgrammers.html#sc_ZooKeeperAccessControl

ZookeeperACL許可權控制

技術標籤:ZookeeperACL許可權Zookeeperzkzookeeper許可權控制 目錄 一、概述 二、acl許可權各部分組成說明

win10配置zookeeper後閃退

編輯zkServer.cmd檔案,在末尾新增pause。這樣執行出錯就不會退出,會提示錯誤資訊,方便找到原因。

linux下配置zookeeper

一:準備安裝包 前提條件:需要安裝配置好jdk (省略) zookeeper-3.4.6.tar.gz 放在/root下

ACL許可權以及Linux對許可權的判斷順序

ACL許可權 ACL許可權是對UGO許可權的擴充套件。基本UGO許可權將檔案的作用目標分為三類,其中O這一類包含的使用者太籠統,如果我們想單獨設定某個使用者或某個組對檔案的某種許可權,則可使用ACL(Access Control Li

Postgresql建立使用者以及配置相應的許可權

1) 啟動資料庫服務,使用超級使用者 postgres 建立應用使用者 appuser,賦權createdb、login,appuser 的密碼設定為 1qaz@WSX,並體現到.pgpass 檔案中, 以便 appuser 免密登入,appuser 使用者的密碼在 2022 年 0

安裝高可用spark叢集--多個Master,配置zookeeper

前面我已經安裝了spark叢集,叢集的規劃是一個Master,三個Worker,L1上安裝Master,L3,L4,L5上安裝Worker,安裝過程與細節請看我得另外一篇部落格:https://blog.csdn.net/weixin_43866709/article/details/8838800

1.4 mysql配置遠端訪問許可權

技術標籤:Linux之CentOSmysql遠端訪問安裝ifconfig防火牆開放埠 1、登入資料庫 use mysql;

網路技術:配置擴充套件 ACL

目錄ACL 資料包過濾ACL 的放置擴充套件 ACL 建立語法配置擴充套件 ACL實驗拓撲配置並驗證擴充套件編號 ACL配置並驗證擴充套件命名 ACL修改並驗證擴充套件 ACL參考資料

Shiro配置跳過許可權驗證

需求 因為在開發環境,測試環境,有時候需要跳過shiro的許可權驗證.所以想寫個簡單的配置跳過shiro的許可權驗證.跳過許可權驗證的原理就是重寫**@RequiresPermissions**的實現,然後在配置檔案中寫一個開關,最後通過Ao

[Linux,RHEL,Debian,CentOS,Linux系統]如何在 Linux 中配置 sudo 訪問許可權

a:hover, a:visited, a:link, a:active { text-decoration: none !important; -webkit-box-shadow: none !important; box-shadow: none !important }

Hyperf 釋出 Session、極簡 DB、Zookeeper 配置中心元件和支援 Twig / Plates 檢視引擎支援

更新內容 本週更新主要新增 極簡 DB 元件,Zookeeper 配置中心,和 Session 元件,以及為 檢視元件 增加了 Twig 和 Plates檢視引擎的支援,同時為計劃任務元件增加了叢集執行的支援。 極簡 DB 元件 主要為希望以簡易

dubbo中zookeeper請求超時問題:mybatis+spring連線mysql8.0.15的配置

這兩天準備複習一下java,所以寫一個採用dubbo的商場專案練練手,卻卡第一個測試上,啟動provider服務和Consumer服務,請求介面卻始終報zookeeper請求超時錯誤(dubbo+zookeeper服務端重複呼叫三次),經過排查,我的

Springboot和bootstrap實現shiro許可權控制配置過程

最近在開發一個專案,需要寫一個後管系統,Bootstrap是美國Twitter公司的設計師Mark Otto和Jacob Thornton合作基於HTML、CSS、JavaScript開發的簡潔、直觀、強悍的前端開發框架,使得 Web 開發更加快捷。Bootstrap提

viper配置框架的介紹支援zookeeper的讀取和監聽

viper作為配置框架,其功能非常的強大,我們沒有理由不去了解一下。我們先看官網對它的功能簡介:

從零開始配置vue許可權控制

許可權控制方式 路由完全由後端返回 確認控制邏輯 約定後端返回資料格式 children: [ // 子路由放入children屬性中

zookeeper 偽叢集安裝和 zkui管理UI配置

#=======================【VM機器,二進位制安裝】 # 安裝環境# OS System = Linux CNT7XZKPD02 4.4.190-1.el7.elrepo.x86_64 #1 SMP Sun Aug 25 07:32:44 EDT 2019 x86_64 x86_64 x86_64 GNU/Linux