2. 程式人生 > >《Apache Zookeeper 官方文件》ZooKeeper可插入式身份認證

《Apache Zookeeper 官方文件》ZooKeeper可插入式身份認證

阿新 發佈:2018-12-23

原文地址
ZooKeeper執行在帶有數量眾多並且各不相同的身份認證schemes(檢視)的各種不同環境中,所以它擁有完整的可插入式身份驗證框架。甚至它內建的身份驗證schemes也使用了可插入式身份驗證框架。

想搞清楚身份驗證框架式是如何工作的,你首先必須弄明白兩個主要的身份驗證操作。該框架首先必須驗證客戶端(client)。這一步通常都會被完成只要客戶端連線到伺服器並且它包含了從伺服器傳送過來或收集到相關的關於客戶端與連線進行關聯的驗證資訊。第二步由框架處理的操作時找出一個對客戶端進行響應的ACL中的entries(我翻譯成“標識”)。ACL entries是一對<idspec, permissions>對。Idspec可能是一個匹配關聯連線的驗證資訊的簡單字串(simple string)或者它也可能是一個用來評估該驗證資訊的表示式(expression)、它關注於實現身份驗證外掛的匹配。這裡是身份驗證外掛中必須被實現的介面:


public interface AuthenticationProvider {
String getScheme();
KeeperException.Code handleAuthentication(ServerCnxn cnxn, byte authData[]);
boolean isValid(String id);
boolean matches(String id, String aclExpr);
boolean isAuthenticated();
}


第一個方法“getScheme”返回一個驗證外掛的字串。因為我們支援多樣化身份驗證的方法,而一個身份驗證憑證或一個idspec通常會帶有scheme,所以ZooKeeper伺服器通過身份驗證外掛返回的scheme去確定是哪一個ids被scheme應用了。
一個客戶端傳送身份驗證資訊去跟連線進行關聯,(這一步驟)通常被稱為“處理身份驗證”(handleAuthentication)。客戶端將shceme指定給那些響應資訊。ZooKeeper伺服器將該資訊傳遞給那些getScheme與客戶端傳遞過來的scheme相匹配的身份驗證外掛。如果handleAuthentication的實現(implementation)確定該資訊是壞的它通常都會返回一個錯誤,然後它會使用cnxn.getAuthInfo().add(new Id(getScheme(), data))方法與連線關聯資訊。
身份驗證外掛在設定和使用ACLs(的情況)中都被呼叫了。當一個ACL因為znode而被建立時,ZooKeeper伺服器將會傳遞部分標識(entry)的id給isValid(String id)方法。它被外掛用來驗證id是否擁有一個正確的form(找不到合適譯意)。舉個例子,IP:172.16.0.0/16是一個非法id,但ip:host.com卻是合法的。如果一個新的ACL包含了一個“auth”標識,那麼“isAuthenticated”會被使用來判斷這個與連線相關聯的scheme的身份驗證資訊是否應該被加到ACL裡。一些schemes不應該被包含在auth裡。比如,如果auth被(使用者)指定了那麼客戶端的IP地址不會被視為一個應該被加入到ACL裡的id。

在檢查一個ACL的時候ZooKeeper會呼叫matches(String id, String aclExpr)方法。它需要匹配對應的含有相關ACL標識的客戶端它的身份驗證資訊。為了找出那些被應用到客戶端的標識,ZooKeeper伺服器將會找出每一個標識的scheme,同時,如果有一個來自對應scheme的客戶端驗證資訊,matches(String id, String aclExpr)方法會在使用了提前被新增到handleAuthentication連線的驗證資訊的id和用於ACL標識id的aclExpr這兩個引數後被呼叫。身份驗證外掛裡含有兩個內建物件:iP和digest。通過使用系統properties可以新增額外外掛。啟動的時候ZooKeeper伺服器會查詢以“zookeeper.authProvider”開頭的系統properties並且解析那些properties裡面的值,比如一個身份驗證外掛的類名。通過使用“Dzookeeper.authProvider.X=com.f.MyAuth”可以建立那些properties,或者你可以像下面一樣在伺服器配置檔案裡新增標識:

authProvider.1=com.f.MyAuth
authProvider.2=com.f.MyAuth2


應該注意的是我們要確保property的字尾是獨一無二的。如果有相同的比如:
Dzookeeper.authProvider.x=com.f.MyAuthDzookeeper.authProvider.x=com.f.MyAuth2,那麼只有其中一個會被使用。另外所有的伺服器必須擁有相同的被定義外掛,否則使用了外掛提供的身份驗證schemes的客戶端們將會在連線到某些伺服器時發生很多問題。

第一次翻譯,有很多不懂,錯誤也在所難免。所以如果發現錯誤,謝謝大家指出。
我的部落格(CSDN):PursueCloud


相關推薦

Apache Zookeeper 官方ZooKeeper插入身份認證

原文地址 ZooKeeper執行在帶有數量眾多並且各不相同的身份認證schemes(檢視)的各種不同環境中,所以它擁有完整的可插入式身份驗證框架。甚至它內建的身份驗證schemes也使用了可插入式身份驗證框架。 想搞清楚身份驗證框架式是如何工作的,你首先必須弄明白兩個主要的身份驗證操作。該框架

Apache Zookeeper 官方》管理分散式系統就像管理動物園一樣

原文連結 譯者:方騰飛,JIT Zookeeper 是一個高效能的分散式應用協調服務框架. 它以一種簡單介面的形式暴露了一系列的通用服務,比如命名,配置管理,同步和分組等。 因此你不必從一堆草稿中去實現他們。你可以使用現成的東西去實現一致性,分組管理,機器選擇和已經存在的一些協議。同時你能夠用

Apache Zookeeper 官方》-3 快速指南:使用zookeeper來協調分散式應用

原文連結  譯者:softliumin  校對:方騰飛 本節內容讓你快速入門zookeeper。它主要針對想嘗試使用zookeeper的開發者,幷包含一個ZooKeeper單機伺服器的安裝說明,你可以用一些命令來驗證它的執行,以及簡單的程式設計例項。最後,為了考慮到方便性,有一些複雜的安裝部分

Apache Zookeeper 官方》-1簡介

原文地址   譯者:JIT,方騰飛  校對:方騰飛 歡迎光臨Zookeeper Apache Zookeeper 是一個致力於開發和管理開源伺服器,並且能實現高可靠性的分散式協調框架。 Apache Zookeeper是什麼 Zookeeper是一個集中式的服務,包括管理配置資訊,命名服務,

Apache Zookeeper 官方》-4 ZooKeeper程式設計指南

原文連結  譯者:zivyu 簡介 對於想要利用ZooKeeper的協調服務來建立一個分散式應用的開發人員來說,這篇文章提供了指導。包含了一些概念和實際性操作的資訊。 這篇文章的前四個章節介紹了各種ZooKeeper的概念,這對理解ZooKeeper是怎麼工作的是必須的。沒有包含原始碼,但是它

Apache Zookeeper官方》2-綜述

原文地址 Zookeeper:一個分散式應用的分散式協調服務 zookeeper 是一個分散式的,開源的協調服務框架,服務於分散式應用程式。 它暴露了一系列的基礎的操作服務,因此分散式應用能夠基於這些服務,構建出更高級別的服務,比如同步,配置管理,分組和命名服務。 zookeeper設計上易於

ZooKeeper官方Zookeeper操作指南

原文連結   譯者:小村長 About 本專案是 Apache ZooKeeper官方文件的中文翻譯版,致力於為有分散式協同專案需求和對 Apache Zookeeper 感興趣的同學提供有價值的中文資料,希望能夠對大家的工作和學習有所幫助。 Zookeeper對與做大資料的人來說在熟悉不過了

Apache Storm 官方 —— Trident State

Trident 中含有對狀態化(stateful)的資料來源進行讀取和寫入操作的一級抽象封裝工具。這個所謂的狀態(state)既可以儲存在拓撲內部(儲存在記憶體中並通過 HDFS 來實現備份),也可以存入像 Memcached 或者 Cassandra 這樣的外部資料庫中。而對於 Trident A

Flume.apache.org 官方學習筆記 part one

Apache Flume 是一個分散式,可靠且可用的系統,用於有效地從許多不同的源收集,聚合和移動大量日誌資料到集中式資料儲存。 Apache Flume的使用不僅限於日誌資料聚合。由於資料來源是可定製的,因此Flume可用於傳輸大量事件資料,包括但不限於網路流量資料

Flume.apache.org 官方學習筆記 part two

   配置個體元件:       當你定義了這個流之後,你需要去設定每個資源、接收器、通道的屬性。這是在你設定元件型別和每個元件的特定屬性值的同一層名稱空間內完成的。 # properties for sources <Agent>.sources.<S

Flume.apache.org 官方學習筆記 part three

    JMS 源:         jms源閱讀從jms目的地發來的資訊,例如佇列,主題等。  作為一個jms應用程式,他應該和jms提供程式一起工作,但是僅使用ActiveMQ進行測試。JMS源提供可配置的批量大小,訊息選擇器,使用者/傳遞還有訊息到接收器事件轉換器。 要

Flume.apache.org 官方學習筆記 part five

     kafka 源:         Kafka 源是Apache Kafka 消耗者,讀取來自kafka主題的資訊。如果你有多個Kafka源在執行,你可以給他們配置一樣的使用者群組,以便每個源都讀取一組唯一的主題分割槽。                 要注

Apache Flink官方Apache Flink介紹

原文連結 譯者:ivansong 下面是關於Apache Flink(以下簡稱Filnk)框架和流式計算的概述。為了更專業、更技術化的介紹,在Flink文件中推薦了一些“概念性”的文章。 1、無窮資料集的持續計算 在我們詳細介紹Flink前,複習一下當我們計算資料選擇運算模型時,很可能會遇到

Apache Hive官方》首頁

原文連結  譯者:BJdaxiang Apache Hive是一款資料倉庫軟體,通過SQL使得分散式儲存系統中的大的資料集的讀、寫和管理變得容易。使用者可以使用自帶的命令列工具和JDBC驅動用來連線Hive。 開始Apache Hive之旅 在我們的wiki上了解更多關於Hive的功能。

Apache Storm 官方 —— 配置

原文連結    譯者:魏勇 Storm 有大量配置項用於調整 nimbus、supervisors 和拓撲的行為。有些配置項是系統級的配置項,在拓撲中不能修改,另外一些配置項則是可以在拓撲中修改的。 每一個配置項都在 Storm 程式碼庫的 defaults.yaml 中有一個預設值。可以通過

Apache Storm 官方 —— 本地模式

原文連結    譯者:魏勇 本地模式是一種在本地程序中模擬 Storm 叢集的工作模式,對於開發和測試拓撲很有幫助。在本地模式下執行拓撲與在叢集模式下執行拓撲的方式很相似。 建立一個程序內的“叢集”只需要使用 LocalCluster 類即可,例如: import backtype.sto

Apache Flink 官方》前言

原文連結 譯者:ivansong 本文件針對的是Apache Flink的 1.2.0版本。 Apache Flink是一個分散式流式和批量資料處理程式的開源平臺。Flink的核心是流式資料引擎,Flink通過資料流的分散式計算的方式提供資料的分發、通訊和容錯。Flink也構建了流引擎之上的批

Apache Flink官方》程式設計模型

原文連結   譯者:魏勇 抽象層次 Flink 能夠為流式計算或批處理應用提供多種層次的抽象介面。 最低階的抽象介面是狀態化的資料流介面。這個介面是通過 ProcessFunction 整合到 資料流 API 中的。此類介面讓使用者可以使用連續的容錯狀態,並且可以不受限制地處理多個數據

Apache Thrift官方》簡介

Apache Thrift 最後修改時間: 2017-11-11 簡介 Thrift是一個輕量級、語言無關的軟體棧,它具有一套為RPC通訊生成程式碼的機制。Thrift為資料的傳輸、序列化,以及應用層處理提供了乾淨的抽象。採用這種抽象棧,它的程式碼生成器僅使用一種簡潔的定義語言作為輸入,便能

Apache Storm 官方 —— Trident Spouts

原文連結    譯者:魏勇 與一般的 Storm API 一樣,spout 也是 Trident 拓撲的資料來源。不過,為了實現更復雜的功能服務,Trident Spout 在普通的 Storm Spout 之上另外提供了一些 API 介面。 資料來源、資料流以及基於資料流更新 state(比