ZooKeeper ACL許可權控制

阿新 • • 發佈：2019-01-06

ZK 類似檔案系統，Client 可以在上面建立節點、更新節點、刪除節點等如何做到許可權的控制？查閱文件，zk的ack（Access Control List）能夠保證許可權，但是調研完後發現它不是很好用。

ACL 許可權控制，使用：schema:id:permission 來標識，主要涵蓋 3 個方面：

許可權模式（Schema）：鑑權的策略
授權物件（ID）
許可權（Permission）

其特性如下：

ZooKeeper的許可權控制是基於每個znode節點的，需要對每個節點設定許可權
每個znode支援設定多種許可權控制方案和多個許可權
子節點不會繼承父節點的許可權，客戶端無權訪問某節點，但可能可以訪問它的子節點

一、接下來，我們逐一講解schema、id和permission三個知識點。 1、schema： ZooKeeper內建了一些許可權控制方案，可以用以下方案為每個節點設定許可權：

方案	描述
world	只有一個使用者：anyone，代表所有人（預設）
ip	使用IP地址認證
auth	使用已新增認證的使用者認證
digest	使用“使用者名稱:密碼”方式認證

2、id：授權物件ID是指，許可權賦予的使用者或者一個實體，例如：IP 地址或者機器。授權模式 schema 與授權物件 ID 之間關係：

3、許可權permission：

許可權	ACL簡寫	描述
CREATE	c	可以建立子節點
DELETE	d	可以刪除子節點（僅下一級節點）
READ	r	可以讀取節點資料及顯示子節點列表
WRITE	w	可以設定節點資料
ADMIN	a	可以設定節點訪問控制列表許可權

二、許可權相關命令：

命令	使用方式	描述
getAcl	getAcl <path>	讀取ACL許可權
setAcl	setAcl <path> <acl>	設定ACL許可權
addauth	addauth <scheme> <auth>	新增認證使用者

三、實戰： 1、World方案： 1）設定方式

setAcl <path> world:anyone:<acl>

2）客戶端例項：

[zk: localhost:2181(CONNECTED) 0] create /node1 1
Created /node1

[zk: localhost:2181(CONNECTED) 1] getAcl /node1
'world,'anyone  #預設為world方案
: cdrwa #任何人都擁有所有許可權

#可以用以下方式設定：
[zk: localhost:2181(CONNECTED) 2] setAcl /node1 world:anyone:cdrwa
cZxid = 0x19000002a1
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x19000002a1
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x19000002a1
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

2、IP方案： 1）設定方式

setAcl <path> ip:<ip>:<acl>

<ip>：可以是具體IP也可以是IP/bit格式，即IP轉換為二進位制，匹配前bit位，如192.168.0.0/16匹配192.168.*.* 2）客戶端例項

[zk: localhost:2181(CONNECTED) 0] create /node2 1
Created /node2

[zk: localhost:2181(CONNECTED) 1] setAcl /node2 ip:192.168.100.1:cdrwa #設定IP：192.168.100.1 擁有所有許可權
cZxid = 0x1900000239
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x1900000239
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x1900000239
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 2] getAcl /node2
'ip,'192.168.100.1
: cdrwa

#使用IP非 192.168.100.1 的機器
[zk: localhost:2181(CONNECTED) 0] get /node2
Authentication is not valid : /node2 #沒有許可權

[zk: localhost:2181(CONNECTED) 1] delete /node2 #刪除成功（因為設定DELETE許可權僅對下一級子節點有效，並不包含此節點）

3、Auth方案 1）設定方式

addauth digest <user>:<password> #新增認證使用者
setAcl <path> auth:<user>:<acl>

2）客戶端例項

[zk: localhost:2181(CONNECTED) 0] create /node3 1
Created /node3

[zk: localhost:2181(CONNECTED) 1] addauth digest yoonper:123456 #新增認證使用者

[zk: localhost:2181(CONNECTED) 2] setAcl /node3 auth:yoonper:cdrwa
cZxid = 0x19000002b8
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x19000002b8
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x19000002b8
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 3] getAcl /node3
'digest,'yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=
: cdrwa

[zk: localhost:2181(CONNECTED) 4] get /node3
1 #剛才已經新增認證使用者，可以直接讀取資料，斷開會話重連需要重新addauth新增認證使用者
cZxid = 0x1900000418
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x1900000418
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x1900000418
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

4、Digest方案 1）設定方式

setAcl <path> digest:<user>:<password>:<acl>

這裡的密碼是經過SHA1及BASE64處理的密文，在SHELL中可以通過以下命令計算：

echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64

先來計算一個密文

echo -n yoonper:123456 | openssl dgst -binary -sha1 | openssl base64
UvJWhBril5yzpEiA2eV7bwwhfLs=

2）客戶端例項

[zk: localhost:2181(CONNECTED) 0] create /node4 1
Created /node4

#使用是上面算好的密文密碼新增許可權：
[zk: localhost:2181(CONNECTED) 1] setAcl /node4 digest:yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=:cdrwa
cZxid = 0x19000002e3
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x19000002e3
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x19000002e3
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 2] getAcl /node4
'digest,'yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=
: cdrwa

[zk: localhost:2181(CONNECTED) 3] get /node4
Authentication is not valid : /node4 #沒有許可權

[zk: localhost:2181(CONNECTED) 4] addauth digest yoonper:123456 #新增認證使用者

[zk: localhost:2181(CONNECTED) 5] get /node4
1 #成功讀取資料
cZxid = 0x1900000420
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x1900000420
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x1900000420
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

5、java客戶單例項：

import java.io.IOException;  
import java.util.concurrent.CountDownLatch;  
  
import org.apache.zookeeper.CreateMode;  
import org.apache.zookeeper.KeeperException;  
import org.apache.zookeeper.WatchedEvent;  
import org.apache.zookeeper.Watcher;  
import org.apache.zookeeper.Watcher.Event.EventType;  
import org.apache.zookeeper.Watcher.Event.KeeperState;  
import org.apache.zookeeper.ZooDefs.Ids;  
import org.apache.zookeeper.ZooKeeper;  
  
import com.zookeeper.utils.CommonParams;  
  
  
public class Zookeeper_Acl_Create  extends CommonParams implements Watcher {  
  
    private static CountDownLatch latch = new CountDownLatch(1);  
      
    private static CountDownLatch countDownLatch = new CountDownLatch(1);  
      
    private static ZooKeeper zk = null;  
  
    public void syncInit() {  
        try {  
            zk = new ZooKeeper(CONNECTION_IP, 5000,  
                    new Zookeeper_Acl_Create());  
            latch.await();  
            zk.addAuthInfo("digest", "username:password".getBytes());  
            zk.create("/act", "init".getBytes(), Ids.CREATOR_ALL_ACL, CreateMode.EPHEMERAL);  
            ZooKeeper zk3 =  new ZooKeeper(CONNECTION_IP, 5000,  
                    null);  
            zk3.addAuthInfo("digest", "username:password".getBytes());  
            String value2 = new String(zk3.getData("/act", false, null));  
            System.out.println("zk3有許可權進行資料的獲取" + value2);  
            ZooKeeper zk2 =  new ZooKeeper(CONNECTION_IP, 5000,  
                    null);  
            zk2.addAuthInfo("digest", "super:123".getBytes());  
            zk2.getData("/act", false, null);  
        } catch (InterruptedException e) {  
            e.printStackTrace();  
        } catch (IOException e) {  
            e.printStackTrace();  
        } catch (KeeperException e) {  
            System.out.println("異常:" + e.getMessage());  
            System.out.println("zk2沒有許可權進行資料的獲取");  
            countDownLatch.countDown();  
        }  
    }  
  
    @Override  
    public void process(WatchedEvent event) {  
        if (KeeperState.SyncConnected == event.getState()) {  
            if (event.getType() == EventType.None && null == event.getPath()) {  
                latch.countDown();  
            }   
        }  
    }  
      
    public static void main(String[] args) throws InterruptedException {  
        Zookeeper_Acl_Create acl_Create = new Zookeeper_Acl_Create();  
        acl_Create.syncInit();  
        countDownLatch.await();  
    }  
  
}

輸出：

zk3有許可權進行資料的獲取init  
異常:KeeperErrorCode = NoAuth for /act  
zk2沒有許可權進行資料的獲取

ZooKeeper ACL許可權控制

ZK 類似檔案系統，Client 可以在上面建立節點、更新節點、刪除節點等如何做到許可權的控制？查閱文件，zk的ack（Access Control List）能夠保證許可權，但是調研完後發現它不是很好用。 ACL 許可權控制，使用：schema:id:permission

ZooKeeper設定ACL許可權控制

ZooKeeper設定ACL許可權控制 ZK的節點有5種操作許可權：CREATE、READ、WRITE、DELETE、ADMIN 也就是增、刪、改、查、管理許可權，這5種許可權簡寫為crwda(即：每個單詞的首字元縮寫)注：這5種許可權中，delete是指對子節點的刪除許可權，其它4種

Zookeeper（四）Acl許可權控制

傳統的檔案系統中，ACL分為兩個維度，一個是屬組，一個是許可權，子目錄/檔案預設繼承父目錄的ACL。而在Zookeeper中，node的ACL是沒有繼承關係的，是獨立控制的。Zookeeper的ACL，可以從三個維度來理解：一是scheme; 二是user; 三是perm

ZooKeeper系列（五）—— ACL 許可權控制

一、前言為了避免儲存在 Zookeeper 上的資料被其他程式或者人為誤修改，Zookeeper 提供了 ACL(Access Control Lists) 進行許可權控制。只有擁有對應許可權的使用者才可以對節點進行增刪改查等操作。下文分別介紹使用原生的 Shell 命令和 Apache Curator 客

zookeeper的許可權控制

1、許可權模式 1、ip形式 : 192.168.1.1 2、Digest（使用者名稱密碼形式） : username:password 3、world : 開放式的許可權控制模式，資料節點的訪問許可權對所有使用者開放。 world:anyone 4、super ：超級使用者，可以對

zookeeper acl許可權

總體來說，ZK的節點有5種操作許可權： CREATE、READ、WRITE、DELETE、ADMIN 也就是增、刪、改、查、管理許可權，這5種許可權簡寫為crwda(即：每個單詞的首字元縮寫) 注：這5種許可權中，delete是指對子節點的刪除許可權，其它4種許可權指對自身節點的操作許可權

Linux ACL訪問許可權控制詳解

在普通許可權中，Linux使用者對檔案只有三種身份，就是屬主、屬組和其他人；每種使用者身份擁有讀（read）、寫（write）和執行（execute）三種許可權。但是在實際工作中，這三種身份實在是不夠用，我們舉個例子來看看。圖 1 ACL許可權簡介圖 1 的根目錄中有一個 /projec

zookeeper java呼叫及許可權控制

import java.io.IOException; import java.security.NoSuchAlgorithmException; import java.util.ArrayList; import java.util.List; imp

Zookeeper節點ACL許可權設定(四)

概述 ACL全稱為Access Control List（訪問控制列表），用於控制資源的訪問許可權。ZooKeeper使用ACL來控制對其znode（ZooKeeper資料樹的資料節點）的訪問。ACL實現與UNIX檔案訪問許可權非常相似：它使用許可權位來允許

ZooKeeper zkclient ACL 訪問控制列表

存在的必要性設計架構 acl 通過 [scheme:id:permissions] 構成 ZK的節點有5種操作許可權：許可權組合字串縮寫 crdwa CREATE：建立子節點 READ：獲取節點、子節點 WRITE：設定節點資料 DELETE：

zookeeper相關create以及ACL許可權

客戶端初始化zookeeper 建立zookeeper節點 api: create(final String path, byte data[], List<ACL> acl, CreateMode create

zookeeper java 客戶端ACL許可權使用

zookeeper 提供許可權認證作為zookeeper客戶端訪問的限制，主要有兩種方式，1、IP模式 2、 digest許可權模式可以通過建立節點時定義許可權內容。以下是java的實現 package com.aicong.test.helloZookeeper;

Zookeeper的API操作以及ACL許可權

Zookeeper的ACL許可權 1. ACL的簡介首先說明一下為什麼需要ACL 簡單來說 :在通常情況下,zookeeper允許未經授權的訪問,因此在安全漏洞掃描中暴漏未授權訪問漏洞。這在一些監控很嚴的系統中是不被允許的,所以需要A

使用Java API、Curator操作zookeeper的acl許可權

zk原生api操作acl許可權預設匿名許可權 ZooKeeper提供瞭如下幾種驗證模式（scheme）： digest：Client端由使用者名稱和密碼驗證，譬如user:password，digest的密碼生成方式是Sha1摘要的base64形式 auth：不使用任何id

ceph儲存網路層訪問許可權控制技術-acl(訪問控制列表)

網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時，也帶來了諸如資料的安全性，員工利用網際網路做與工作不相干事等負面影響。如何將一個網路有效的管理起來，儘可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的一個重要課題。　　A公司的某位可憐的網管目前就面臨了一

基於Kafka 0.9版本使用ACL進行許可權控制

kafka附帶一個可插拔的認證，並使用zookeeper來儲存所有的acl。kafka的acl在一般格式定義"Principal P is [Allowed/Denied] Operation O From Host H On Resource R”，你可以閱讀更多關於KIP-11的結構，為了新增，刪除或列

ZooKeeper之Java客戶端API使用—許可權控制。

在ZooKeeper的實際使用中，我們的做法往往是搭建一個共用的ZooKeeper叢集，統一為若干個應用提供服務。在這種情況下，不同的應用往往是不會存在共享資料的使用場景的，因此需要解決不同應用之間的許可權問題。為了避免儲存在ZooKee

HDFS檔案許可權及ACL訪問控制

Hdfs檔案許可權及ACL訪問控制 1、許可權相關配置 (1)、hdfs-site.xml設定啟動acl <property> <name>dfs.permissions.enabled</name>

linux acl訪問控制列表系統整理

acl mask 權限掩碼 acl######文件的訪問控制（acl）##########################

路由交換基礎（四）——ACL訪問控制列表

per not 由器地址同時擴展數據包而不是需要一、ACL1.作用訪問控制列表(Access Control List)，是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL可以過濾網絡中的流量，是控制訪問的一種網絡技術手段。配置ACL後，可以限制

ZooKeeper ACL許可權控制

相關推薦