zookeeper--基础知识点--5--ACL

最新推荐文章于 2024-03-28 09:30:00 发布
最新推荐文章于 2024-03-28 09:30:00 发布
阅读量682 收藏 1
点赞数 1
分类专栏: zookeeper 文章标签: zookeeper setAcl ACL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chasing__Dreams/article/details/113762001
版权

ACL:Access Control List 访问控制列表

1 ACL构成

ACL 权限控制,使用:scheme : id : perm 来标识,主要涵盖 3 个方面:

  • 权限模式(Scheme):授权的策略
  • 授权对象(ID):授权的对象
  • 权限(Permission):授予的权限

2 ACL 特性

  • ZooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限
  • 每个znode支持设置多种权限控制方案和多个权限
  • 子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点

3 schema 采用何种方式授权

  • world:默认方式,相当于全部都能访问
  • auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
  • digest:即用户名:密码这种方式认证,这也是业务系统中最常用的。用 username:password 字符串来产生一个MD5串,然后该串被用来作为ACL ID。认证是通过明文发送username:password 来进行的,当用在ACL时,表达式为username:base64 ,base64是password的SHA1摘要的编码。
  • ip:使用客户端的主机IP作为ACL ID 。这个ACL表达式的格式为addr/bits ,此时addr中的有效位与客户端addr中的有效位进行比对。

4 id 给谁授予权限

在这里插入图片描述

5 permission 授予什么权限

CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda

这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。

更详细的如下:

权限缩写说明
CREATEc可以创建子节点
DELETEd可以删除子节点(仅下一级节点)
READr可以读取节点数据及显示子节点列表
WRITEw可以设置节点数据
ADMINa可以设置节点访问控制列表权限
# CREATE
[zk: localhost:2181(CONNECTED) 45] getAcl /a
'world,'anyone
: cdrwa
[zk: localhost:2181(CONNECTED) 46] setAcl /a world:anyone:drwa
[zk: localhost:2181(CONNECTED) 47] create /a/ab ab
Authentication is not valid : /a/ab

# DELETE
[zk: localhost:2181(CONNECTED) 48] setAcl /a world:anyone:crwa
[zk: localhost:2181(CONNECTED) 49] ls /a
[aa]
[zk: localhost:2181(CONNECTED) 50] delete /a/aa
Authentication is not valid : /a/aa

# READ
[zk: localhost:2181(CONNECTED) 51] setAcl /a world:anyone:cdwa
[zk: localhost:2181(CONNECTED) 52] get /a
org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /a
[zk: localhost:2181(CONNECTED) 53] ls /a
Authentication is not valid : /a
[zk: localhost:2181(CONNECTED) 54] 

# WRITE
[zk: localhost:2181(CONNECTED) 54] setAcl /a world:anyone:cdra
[zk: localhost:2181(CONNECTED) 55] set /a 1
Authentication is not valid : /a

# ADMIN
[zk: localhost:2181(CONNECTED) 56] setAcl /a world:anyone:cdrw
[zk: localhost:2181(CONNECTED) 57] setAcl /a world:anyone:cdrwa
Authentication is not valid : /a

6 测试

此处全部以r权限进行示例

6.1 schema为world
[zk: localhost:2181(CONNECTED) 10] setAcl /a world:anyone:ra
[zk: localhost:2181(CONNECTED) 11] get /a
a
[zk: localhost:2181(CONNECTED) 12] ls /a
[aa]
6.2 schema为ip
[zk: localhost:2181(CONNECTED) 13] setAcl /a ip:127.0.0.1:ra
[zk: localhost:2181(CONNECTED) 14] get /a  # locahost也没有r权限,必须是127.0.0.1
org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /a
[zk: localhost:2181(CONNECTED) 15] close
...
...
... # 再按Enter键
[zk: localhost:2181(CLOSED) 16] connect 127.0.0.1:2181  # 使用127.0.0.1连接
...
...
... # 再按Enter键
[zk: 127.0.0.1:2181(CONNECTED) 17] getAcl /a
'ip,'127.0.0.1
: ra
[zk: 127.0.0.1:2181(CONNECTED) 18] get /a
a
[zk: 127.0.0.1:2181(CONNECTED) 19] ls /a
[aa]
6.3 schema为auth
[zk: localhost:2181(CONNECTED) 13] addauth digest zhangsan:123456  # 增加授权用户,明文用户名和密码
[zk: localhost:2181(CONNECTED) 14] setAcl /a auth:zhangsan:ra
[zk: localhost:2181(CONNECTED) 15] get /a 
a
[zk: localhost:2181(CONNECTED) 16] close
...
...
... # 再按Enter键
[zk: localhost:2181(CLOSED) 17] connect localhost:2181
...
...
... # 再按Enter键
[zk: localhost:2181(CONNECTED) 18] get /a
org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /a
[zk: localhost:2181(CONNECTED) 19] ls /a
Authentication is not valid : /a
[zk: localhost:2181(CONNECTED) 20] addauth digest zhangsan:123456
[zk: localhost:2181(CONNECTED) 21] get /a
a
[zk: localhost:2181(CONNECTED) 22] ls /a
[aa]

在auth认证模式中addauth的作用:

  • [1] 增加授权用户,明文用户名和密码
  • [2] 进行auth认证模式进行认证
6.4 schema为digest
# 该命令功能也可以使用其他语言实现
[root@lighthouse ~]# echo -n lisi:123456 | openssl dgst -binary -sha1 | openssl base64
yoHDeYtQqNbfIsD6tuoYFXFB59g=  # 得到密文

[zk: localhost:2181(CONNECTED) 1] setAcl /a digest:lisi:yoHDeYtQqNbfIsD6tuoYFXFB59g=:ra
[zk: localhost:2181(CONNECTED) 2] ls /a
Authentication is not valid : /a
[zk: localhost:2181(CONNECTED) 3] get /a
org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /a
[zk: localhost:2181(CONNECTED) 4] addauth digest lisi:123456
[zk: localhost:2181(CONNECTED) 5] ls /a
[aa]
[zk: localhost:2181(CONNECTED) 6] get /a
a

在digest认证模式中addauth的作用:只进行认证。

本人猜测auth与digest认证方式本质都是相同的,都是对password进行SHA-1运算然后进行base64编码,然后将得到的值进行存储。最后在某次会话中认证时通过程序员提供password,然后进行相同运算,将得到的值与存储的值进行比对。比对相同就通过认证,否则不通过。auth与digest认证方式不同之处仅在于为某个结点添加认证时的方式不同。在开发过程中经常使用的是digest认证。

6.5 schema为SuperDigest 超级管理员

6.5.1 添加super权限

步骤1:

[root@lighthouse ~]# echo -n super:123456 | openssl dgst -binary -sha1 | openssl base64
BBO7K8dPkoek/JxIHqXxM75QRpI=

步骤2:

在zkServer.sh中添加一行内容:

    "-Dzookeeper.DigestAuthenticationProvider.superDigest=super:BBO7K8dPkoek/JxIHqXxM75QRpI=" \

添加完成后如下图所示:
在这里插入图片描述
步骤3:

启动zkServer.sh,前提已配置环境变量,否则需进入到/opt/apache-zookeeper-3.6.2-bin/bin下再执行以下命令。

# 启动命令
[root@lighthouse ~]# zkServer.sh start

# 重启命令
[root@lighthouse ~]# zkServer.sh restart

6.5.2 使用场景

6.5.2.1场景1

遇到以下问题:

当使用auth或digest认证模式为某个znode设置了acl权限后,但是密码忘记了。

解决办法:

步骤1:

添加super权限,按6.5.1进行操作。

步骤2:

进行认证,重启zookeeper之后,执行: addauth digest super:123456

步骤3:

将zookeeper下面的所有节点: 设置为

'world,'anyone
: cdrwa
命令如下 : 
setAcl /testAcl world:anyone:cdrwa //将该节点设置为最高权限!

6.5.2.2场景2

遇到以下问题:

zookeeper下面有zookeeper,hadoop-ha,spark结点等等,并对集群下面所有节点 都设置了ACL权限认证之后,集群的启动直接报错!集群彻底爆炸!

解决办法:

步骤1:

添加super权限,按6.5.1进行操作。

步骤2:

进行认证,重启zookeeper之后,执行: addauth digest super:123456

步骤3:

将zookeeper下面的所有节点: 设置为

'world,'anyone
: cdrwa
命令如下 : 
setAcl /testAcl world:anyone:cdrwa //将该节点设置为最高权限!

[参考博客]
Zookeeper的ACL权限
zookeeper的ACL权限控制

Chasing__Dreams
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zookeeperacl权限控制_zookeeper权限acl与四字命令
weixin_39753213的博客
12-21 422
权限acl介绍,acl的构成与idacl是Access control lists 的缩写,也就是权限控制列表:针对节点可以设置相关读写等权限,目的是为了保障数据安全性权限permissions可以指定不同的权限范围以及角色acl的构成:zk的acl通过 [scheme:id:permissions] 来构成权限列表:scheme:代表采用的某种权限机制id:代表允许访问的用户permission...
分布式协调服务Zookeeper集群之ACL
weixin_33721344的博客
04-23 346
              分布式协调服务Zookeeper集群之ACL篇                                            作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。 一.zookeeper ACL相关知识概览 1>.zookeeper官方文档(http://zookeeper.apache.org/...
使用ZooKeeper ACL特性进行znode控制
weixin_34326429的博客
08-19 143
 Zookeeper作为配置管理服务,因为配置数据有很高的安全要求,需要有权限控制,客户端需要进行登录认证才操作(查看数据,修改数据,创建children znode等等)Zookeeper上面对应znode。    1. 简单的客户端认证zkCli.sh 命令如下:[zk: localhost:2181(CONNECTED) 23] ls /tom Authentication is not v...
Zookeeper--ACL
BtWangZhi的博客
12-15 1145
Acl组成(access controller list) – Scheme:id:permission 比如:world:anyone:crdwa – Scheme͹验证过程中使用的检验策略 – Id͹权限被赋予的对象,比如ip或者某个用户 – Permission为权限,上面的crdwa,表示五个权限组合 c:创建子节点权限,创建节点。 r:读权限,读取节点信息 。 d:删除权限
zookeeper的权限控制
qq_29860591的博客
04-21 246
zookeeperacl权限控制概述​ zookeeper 类似文件系统,client 可以创建节点、更新节点、删除节点,那么如何做到节点的权限的控制呢?zookeeper的access control list 访问控制列表可以做到acl 权限控制,使用scheme:id:permission 来标识,主要涵盖 3 个方面: 权限模式(scheme):授权的策略 授权对象(id)...
zookeeper-3.4.8
02-11
本文将深入探讨Zookeeper的核心特性、工作原理以及在实际应用中的关键知识点。 一、Zookeeper的核心特性 1. **一致性模型**:Zookeeper采用ZAB(Zookeeper Atomic Broadcast)协议,保证了数据的一致性和完整性,...
apache-zookeeper-3.7.0-bin.rar
11-21
Apache ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,它是集群的管理者,监视着...通过深入学习和理解这些知识点,你可以有效地使用和管理Apache ZooKeeper 3.7.0,为分布式系统提供可靠的协调服务。
zookeeper-3.4.6
08-07
**Zookeeper 3.4.6 知识点详解** Zookeeper 是 Apache 开源项目中的一个关键组件,专为分布式应用程序设计,它提供了一种在分布式环境中实现高可用性和一致性的解决方案。Zookeeper 3.4.6 版本是其发展过程中的一个...
zookeeper-demo.7z
最新发布
05-20
在IT行业中,Zookeeper是一个广泛使用的分布式协调服务,由Apache软件基金会开发。它设计的核心目标是简化分布式系统中的数据管理、命名服务、配置管理、...学习并掌握这些基础知识对于理解和构建分布式系统至关重要。
apache-zookeeper-3.6.2-bin
01-28
Zookeeper 3.6.2中,我们可以关注以下几个主要知识点: 1. **安装与配置**: - 下载Apache ZooKeeper 3.6.2的二进制包`apache-zookeeper-3.6.2-bin`,解压后,你会找到包含配置文件、脚本和库的目录结构。 - ...
ZookeeperACL权限控制
weixiaohuai的博客
01-19 633
目录 一、概述 二、acl权限各部分组成说明 三、授权的相关命令 四、world授权模式 五、IP授权模式 六、Auth授权模式 七、Digest授权模式 八、多种模式授权 九、总结 一、概述 zookeeper类似linux文件系统,客户端可以创建数据节点、更新节点数据、删除节点等,那么我们如何做到节点的权限控制呢?回想一下linux文件的权限文件,由r(读)、w(写)、x(可执行)组成,同理,zookeeper中存在访问控制列表,也可以实现类似的权限控制。 acl 权限控制,使用
Zookeeper——ACL授权机制、四字命令
qq_41700030的博客
03-30 1045
ACL授权机制 ACL主要是用来对zoolkeeper的某些节点进行加密授权作用 主要涉及到三个命令 getAcl 获取指定节点的ACL信息 setAcl 设置指定节点的ACL信息 addauth 给当前会话增加username1密码为password1的权限 这里主要结合setAcl和addauth介绍一下如何对指定节点进行加密授权访问 通过getAcl命令获取节点加密信息 [zk: local...
Zookeeper(七)ACL
weixin_44671233的博客
07-03 182
1. Shell 操作 zookeeper本身提供了ACL机制,表示为scheme: id:permissions,第一个字段表示采用哪一种机制,第二个id表示用户,permissions表示相关权限(如只读,读写,管理等)。 (1)scheme :id 介绍 world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的 auth: 它不需要id, 只要是通过authentication的user都
zookeeper--ACL详解
qq_41768644的博客
03-28 2224
zookeeper ACL权限详解 addauth 详解
zookeeper——权限控制ACL
保暖透气大裤衩LeoLee的博客
04-10 500
概述 ACL,全称:access control list,与linux系统对文件的权限控制类似,主要涵盖三个方面: 权限模式(scheme):授权的策略 授权对象(id):anyone、ip地址 权限(permission) 特点如下: zookeeper的权限控制是基于每个znode节点的,对每个节点设置权限 每个znode支持设置多种权限控制方案核多个权限 子节点不会继承父节点的权限,客户端无权访问某节点,但是可以访问它的子节点。 授权模式 world:默认授权模式,代表登录zooke
zookeeperzookeeperACL权限控制
九师兄
05-10 2473
1.概述 ACL:Access Control List 访问控制列表 关联文章:【zookeeperZooKeeper 权限管理与Curator增加权限验证 关联文章:【kafka】kerberos client is being asked for a password not available to garner authentication informa 1.1 简介 ACL 权限控制,使用:scheme:id:perm 来标识,主要涵盖 3 个方面:   权限模式(Scheme):授权的
zookeeper设置ACL属性
技无涯的博客
04-30 3449
zookeeper设置ACL属性 CodingCode 2019.01.04 22:41:10字数 1,565阅读 4,560 对zookeeper设置ACL属性 我们以zkCli为例,来说明zookeeperACL的设置。 使用zkCli时,ACL的格式由<schema>:<id>:<acl>三段组成。 schema:可以取下列值:worl...
Zookeeper ACL
Doub1's Blog
05-13 184
Zookeeper ACL控制命令名词解释创建节点设置ACL创建Auth Digest设置ACL策略setAcl auth 例子:setAcl digst 例子:密文生成 命令名词解释 acl Access Control List 访问控制列表 auth Authentication 身份认证,在这里就解释为身份认证比较合理 并不是Authorization(授权),至于为什么下面会说。 digst Digest 摘要认证 创建节点 创建一个普通节点,节点名为nodeName creat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值