zookeeper权限管理

最新推荐文章于 2024-04-08 21:09:03 发布
最新推荐文章于 2024-04-08 21:09:03 发布
阅读量905 收藏 3
点赞数
文章标签: zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ggh5201314/article/details/100058576
版权

一个zookeeper节点中不仅包含了存储的数据,还有 ACL(Access Control List)。节点创建时,可以给它设置一个ACL,来决定谁可以对节点做哪些操作。

ACL 具有以下特点:

1. ZooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限
2. 每个znode支持设置多种权限控制方案和多个权限
3. 子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点
4. 所以任何一个客户端都可以通过exists 操作来获得任何znode的状态,从而得知znode是否真的存在。

 

ACL 相关命令

命令语法描述
getAclgetAcl path读取某个节点ACL权限
setAclsetAcl path acllist设置某个节点ACL权限
addauthaddauth scheme authinfo添加认证用户
createcreate [-s] [-e] path data acllist创建节点时指明 ACL 权限



   
       

 

 

 

ACL Permissions

ACL 权限ACL 简写允许的操作
CREATEc创建子节点
DELETEd 删除子节点 (仅下一级节点)
READr获取节点的数据和它的子节点
WRITEw设置节点的数据
ADMINa设置 ACL 权限

 

 

 

 

 

 

 

ACL Schemes
ZooKeeper内置了一些权限控制方案,可以用以下方案为每个节点设置权限:

方案描述
world只有一个用户:anyone,代表所有人(默认)
ip使用IP地址认证
auth使用已添加认证的用户认证
digest使用“用户名:密码”方式认证

 

 

 

 

 

 

 

  
ACL是由鉴权方式(scheme)、该鉴权方式的ID(用户或ip地址)和一个权限(permession)的集合组成。例如,我们想通过一个ip地址为10.0.0.1的客户端访问一个节点。那么,我们需要为节点设置一个ACL,鉴权方式使用IP鉴权方式,鉴权方式的ID为10.0.0.1,只允许读权限。那么 ACL 的格式就是:ip:10.0.0.1:w

world 方案

默认情况下使用 world 方法,任何人有所有权限:

创建节点/abc,赋值20190825,默认具有world全部权限

修改(设置)权限:setAcl <path> world:anyone:<acl>

修改节点/abc权限,从cdrwa改为drwa,创建子节点失败(正常创建节点时会打印Created,如上图)



IP 方案

<ip>:可以是具体IP也可以是IP/bit格式,即IP转换为二进制,匹配前bit位,如192.168.0.0/16匹配192.168.*.*
设置方式:setAcl <path> ip:<ip>:<acl>

每种权限模式也支持在节点创建时直接指定,这样就不是默认的world模式。

初始化设置方式:create node data ip:<ip>:<acl>



auth 方案
设置方式

addauth digest <user>:<password> #添加认证用户,可以是新用户或老用户,老用户密码表示鉴权,新用户密码组合表示添加及鉴权,一个用户名支持匹配多个密码,一个用户加一个密码组成一对认证信息
setAcl <path> auth:<user>:<acl>

最后getAcl查询到的密码为SHA62加密过的密码

 

一个用户支持多个密码



digest 方案
设置方式

setAcl <path> digest:<user>:<password>:<acl>

这里的密码是经过SHA1及BASE64处理的密文,这也是digest和auth两种权限模式的区别,auth为传入明文自动生成秘文,无需用户自己生成,直接设置即可。

在SHELL中可以通过以下命令计算:

echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64
先来算一个密文密码:

echo -n admin:admin | openssl dgst -binary -sha1 | openssl base64
x1nq8J5GOJVPY6zgzhtTtA9izLc=


注意了!使用 rmr 删除节点没有权限时,竟然可以使用 delete

待补充:删除目录,删除节点,创建不含value的节点,同一个节点既是目录又有数据,无法创建节点,无报错

原文链接:https://blog.csdn.net/feixiang2039/article/details/79810102

所长是我呦
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zookpeer学习
z89555的博客
08-18 434
当在另外的会话中create /test3/** 监听的地方就可以被触发,但这个监听只是监听这一级节点,如果是孙节点就监听不到。如果用上述的上锁方式,只要有节点发生变化,就会触发其他节点的监听事件,这样的话对zk的压力非常大,--羊群效应。因此创建节点 create /**/** abc 以/的形式创建 要想在节点下添加数据 直接空格abc的形式。如果想在此节点以下节点全部生效就 ls -R -w /test3 ,-R会实现此节点下所有节点的监听(递归)数据版本号就是节点下的数据修改次数。...
Zookeeper 权限
weixin_42728895的博客
11-24 1475
1 zookeeper权限模式 2 zookeeper授权命令 3 案例 c: 代表创建 create r: 读取 d:代表删除 w:写 a:admin world授权模式:命令 setAcl /hadoop world:anyone:cdrwa Auth授权模式 命令 addauth digest <user>:<password> #添加认证用户 setAcl <path>auth:<user>:<acl> addauth di
大数据Hadoop之——Zookeeper鉴权认证 -天天
qq_33023859的博客
07-14 2027
https://blog.csdn.net/qq_35745940/article/details/125156050 文章目录 一、Zookeeper概述与安装 二、Zookeeper Kerberos 鉴权认证 1)Kerberos安装 2)创建用户并生成keytab鉴权文件(前期准备) 3)独立zookeeper配置 1、配置zoo.cfg 2、配置jaas.conf 3、配置java.env 4、将配置copy到其它节点 5、启动服务 6、登录客户端验证 4)kafka内置zookeeper...
大数据Hadoop之——Zookeeper鉴权认证(Kerberos认证+账号密码认证)
匠人精神,持之以恒!
06-11 3718
Zookeeper概述与安装请参考我之前的文章:分布式开源协调服务——ZookeeperZookeeper的安装方式有两种,两种方式都会讲,其实大致配置都是一样的,只是少部分配置有一丢丢的区别。kafka的鉴权认证可以参考我之前的文章:大数据Hadoop之——Kerberos实战(Kafka Kerberos认证,用户密码认证和CDH Kerberos认证)Kerberos安装可以参考我之前的文章:Kerberos认证原理与环境部署 3)独立zookeeper配置 1、配置zoo.cfg 2、配置jaas
Zk3.6+Kafka2.1+KafkaEagle2.0鉴权安装
weixin_44768189的博客
03-08 605
一、文档 中文文档:http://kafka.apachecn.org/documentation.html 官方文档:http://kafka.apache.org/quickstart 二、安装JDK,添加环境变量 安装jdk8以上环境变量 三、zookeeper鉴权安装 此步骤是添加zookeeper与kafka之间的安全认证 下载地址:https://downloads.apache.org/zookeeper/zookeeper-3.6.2/apache-zookeeper-3.6.2-
zookeeper授权方式设置
JohnieLi的博客
08-16 1759
备注:对需要进行白名单设置的路径进行设置,此处设置的路径没有继承关系,即设置了/test的白名单,但是/test/test2依然没有设置为白名单。备注:****此处虽然设置了ramboo1用户的权限,但是zk会默认添加所有存在的用户。备注:此处的密文密码不要随意更改,否则不知道对应的明文是多少,后续就没办法访问对应节点,切记!通过此IP白名单设置之后,即只允许设定过的IP服务器才能进行访问,其他机器无法访问。备注:如果退出了客户端,再进入的时候,需要重新添加用户,才可访问,即授权。可以添加多个用户,如。
zookeeper权限控制详解
langzi989的专栏
12-28 4344
文章目录1、预备知识1.1 权限列表1.2 ACL权限特点1.3 权限相关命令2、添加认证用户:addauth3、 设置znode节点操作权限命令:SetAcl4、 设置节点权限命令中节点权限详解4.1 world ACL授权策略4.2 ip ACL授权策略4.3 auth ACL授权策略4.4 digest Acl授权策略4.5 auth与digest权限控制区别 本文zookeeper权限控制...
zookeeper未授权访问修复建议
07-14
但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出现未授权访问的问题,本文将为读者提供 ZooKeeper 未授权访问修复建议。 一、 ZooKeeper 访问权限配置 ZooKeeper 的访问权限配置是通过 ACL(Access ...
zookeeper 管理工具
06-05
ZooInspector可以帮助用户探索ZNode树(ZooKeeper中的数据节点树),查看节点数据、权限设置、子节点列表以及会话和watch信息。通过这个工具,用户可以更直观地理解ZooKeeper的数据布局,定位问题,或者在开发和测试...
Zookeeper管理工具
12-02
同时,需要注意的是,由于Zkui直接与Zookeeper服务器交互,因此应确保其运行在安全的网络环境中,防止未经授权的访问。 总之,Zookeeper管理工具是提升Zookeeper操作效率和系统稳定性的有效手段,通过可视化界面,...
zookeeper增加权限登录验证
11-19
针对zookeeper的安全漏洞,增加了对访问ip地址的限制。
Zookeeper权限控制代码
09-13
Zookeeper权限控制代码,并且描述了在linux客户端指令鉴权
Zookeeper管理工具】
04-26
2. **节点管理**: 支持创建、删除、修改Zookeeper中的节点,以及设置节点的权限和Watchers。 3. **数据查看与编辑**: 可以查看任意节点的数据内容,同时支持直接编辑和提交更改,方便调试和配置。 4. **会话与...
Zookeeper 管理工具
07-06
Zookeeper管理工具详解——以ZooInspector为例》 Zookeeper作为一个分布式协调服务,它在分布式系统中的地位举足轻重。它为集群提供了一致性、命名服务、配置管理、分布式锁等功能,广泛应用于大数据处理、云计算...
zookeeper集群认证功能
hongge586的专栏
03-31 1047
zookeeper集群认证功能 需求背景 当前zookeeper集群支持动态伸缩,基础配置文件会动态同步,只要待加入节点配置信息满足集群基本要求,可以自动或者手动添加到某个集群里。因此存在如下几个问题: 安全性问题,由于基础配置信息(主要是ip和端口)是公共信息,容易获取。可能存在非法节点加入集群获取集群数据。 不同集群可能无法独立隔离,造成不同集群同步混乱。 新旧集群混用,可能存在新旧数据错误同步,造成数据异常。 目前zookeeper在3.5.0及以上版本开始支持集群选举认证功能...
zookeeper C API client 如何设置digest鉴权验证
最新发布
神神秘秘
04-08 363
为 /1 目录添加权限,目录可以任意指定,只对当前目录起作用。root可以理解为明文用户,cdwra含义为缩写。c 可以创建子节点, d 可以删除子节点(仅下一级节点), r 可以读取节点数据及显示子节点列表,w 可以设置节点数据, a 可以设置节点访问控制列表权限。其中digest是scheme,root:111是id (credential,root可以理解为明文用户,111可以理解为明文密码) :perm。该函数执行成功后,即可访问需要鉴权验证的目录。path填写需要设置权限的路径。
ZooKeeper安装与配置
ImezZ
03-30 8714
一、ZooKeeper安装和配置 1、zookeeper下载 ZooKeeper官网https://zookeeper.apache.org/本文用的是zookeeper-3.4.8.tar.gz,下载 zookeeper-3.4.8.tar.gz。上传至主机/opt目录下 2、安装和配置 安装模式有单机和集群两种,这是采用集群模式,单机模式这里不再赘述。 解压 tar -zxvf zookeeper-3.4.8.tar.gz 目录重命名 mv zookeeper-3.4.8
zookeeper鉴权访问漏洞处理
weixin_44704406的博客
12-27 5954
zookeeper鉴权访问漏洞处理
实战:kafka、zookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6654
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
zookeeper组管理
06-07
Zookeeper可以用来管理组,具体来说,可以使用Zookeeper的watch机制来实现组成员的动态管理。当一个组中的成员加入或退出时,可以通过监听Zookeeper中与该组相关的节点来实时获取组成员的变化。通过这种方式,可以实现动态的组成员管理,确保组中的成员始终是最新的。另外,Zookeeper还可以使用ACL(访问控制列表)来限制组成员的访问权限,从而保证组的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值