ZooKeeper安全认证机制:SSL

最新推荐文章于 2024-07-11 14:31:35 发布
最新推荐文章于 2024-07-11 14:31:35 发布
阅读量2.6k 收藏 7
点赞数
原文链接:http://www.nosqlnotes.com/technotes/zookeeper-ssl/
版权

ZooKeeper安全认证机制:SSL

本文探讨ZooKeeper的SSL安全机制。默认情形下,ZooKeeper的网络通信是没有加密的,但ZooKeeper提供了SSL特性,目前仅应用在Client与Server端之间的交互(Server与Server之间的交互尚不支持),且RPC通信协议基于Netty时(ZooKeeper内置的NIO实现中不支持)。

SSL简介

SSL全称为Secure Socket Layer,它是一种介于传输层和应用层的协议,它通过”握手协议”和“传输协议”来解决信息传输的安全问题,它可以被建立在任何可靠的传输层协议之上(例如TCP,但不能是UDP)。SSL协议主要提供如下三方面的能力:

  • 信息的加密传播
  • 校验机制,数据一旦被篡改,通信双方均会立刻发现
  • 身份证书,防止身份被冒充

SSL的基本设计思想:

  1. Client向Server端索要”公钥
  2. Client对获取的”公钥“进行校验
  3. 双方协商生成“会话密钥
  4. 双方基于”会话密钥“进行信息交换

前3步称之为”握手阶段”,”握手阶段”采用”非对称加密“算法。
第4步称之为”传输阶段”,基于”对称加密“算法,”对称加密”算法的性能是远高于”非对称加密”算法的,因此,更适用于大数据量的传输加密。

如何使用

Client端配置

ZooKeeper Client通过配置如下系统属性来启用基于Netty的RPC通信层:

zookeeper.clientCnxnSocket=”org.apache.zookeeper.ClientCnxnSocketNetty”

Client需要设置如下参数来启用安全通信:

zookeeper.client.secure=true

设置了zookeeper.client.secure属性为true以后,意味着Client与Server之间只能通过"secureClientPort"所指定的端口进行交互。
最后,需要配置KeyStore与TrustStore的相关系统属性:

zookeeper.ssl.keyStore.location=”/path/to/your/keystore”
zookeeper.ssl.keyStore.password=”keystore_password”
zookeeper.ssl.trustStore.location=”/path/to/your/truststore”
zookeeper.ssl.trustStore.password=”truststore_password”

Server端配置

ZooKeeper Server通过配置如下系统属性来启用Netty:

zookeeper.serverCnxnFactory=”org.apache.zookeeper.server.NettyServerCnxnFactory”

在”zoo.cfg”中配置”secureClientPort”端口值,该端口值与原来的”clientPort”端口值应该区别开:

secureClientPort=2281

最后也需要设置KeyStore与TrustStore的配置,与Client端配置类似。

配置示例

“bin/zkServer.sh”的配置示例如下:

export SERVER_JVMFLAGS=”
-Dzookeeper.serverCnxnFactory=org.apache.zookeeper.server.NettyServerCnxnFactory
-Dzookeeper.ssl.keyStore.location=/root/zookeeper/ssl/testKeyStore.jks
-Dzookeeper.ssl.keyStore.password=testpass
-Dzookeeper.ssl.trustStore.location=/root/zookeeper/ssl/testTrustStore.jks
-Dzookeeper.ssl.trustStore.password=testpass”

在 “zoo.cfg”中增加:

secureClientPort=2281

“bin/zkCli.sh”的配置为:

export CLIENT_JVMFLAGS=”
-Dzookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty
-Dzookeeper.client.secure=true
-Dzookeeper.ssl.keyStore.location=/root/zookeeper/ssl/testKeyStore.jks
-Dzookeeper.ssl.keyStore.password=testpass
-Dzookeeper.ssl.trustStore.location=/root/zookeeper/ssl/testTrustStore.jks
-Dzookeeper.ssl.trustStore.password=testpass”

X509AuthenticationProvider

默认情况下,SSL认证是由X509AuthenticationProvider提供的,对应的schema为x509X509AuthenticationProvider基于javax.net.ssl.X509KeyManagerjavax.net.ssl.X509TrustManager提供Host证书认证机制。X509AuthenticationProvider仅仅当zookeeper.serverCnxnFactory配置为NettyServerCnxnFactory时才可使用,ZooKeeper内置的NIO实现类NIOServerCnxnFactory并不支持SSL。
关键的配置项如下所示:

配置项配置解释
zookeeper.ssl.keyStore.locationKeyStore的路径
zookeeper.ssl.trustStore.locationTrustStore的路径
zookeeper.ssl.keyStore.passwordKeyStore的访问密码
zookeeper.ssl.trustStore.passwordTrustStore的访问密码

在KeyStore JKS文件中保存了Server的证书以及私钥信息,该证书需要由Client端信任,因此,该证书或CA(证书认证机构信息)也会被存储在Client端的TrustStore JKS文件中。同时,Server端的TrustStore JFS文件中存储了所信任的Client的证书/CA信息。
Client认证成功之后,会创建一个ZooKeeper Session,Client可以设置ACLs的schema为”x509″. “x509″使用Client认证成功后的X500 Principal作为ACL ID。 ACL信息中包含Client认证后的确切的X500 Principal名称。

关于X509与 X500:
X509: 一套数字证书体系标准
X500: 定义了一种区别命名规则,以命名树来确保用户名称的唯一性

digest认证类似,Server端可以配置一个X509的superUser,对应的Property Key为:

​ zookeeper.X509AuthenticationProvider.superUser

superUser可以绕过ACL配置从而拥有所有znodes的所有权限。

定制X509AuthenticationProvider

除了默认的X509AuthenticationProvider以外,ZooKeeper允许自定义扩展实现X509的安全信任机制,尤其是Certificate Key Infrastructures不使用JKS时。
自定义实现X509AuthenticationProvider应该遵循:

  • 继承自X509AuthenticationProvider
  • KeyManager需要继承自javax.net.ssl.X509ExtendedKeyManager
  • TrustManager需要继承自javax.net.ssl.X509ExtendedTrustManager
  • 覆写X509AuthenticationProvidergetKeyManagergetTrustManager方法

这样,自定义的实现才会在SSLEngine中发挥作用。
自定义的AuthenticationProvider需要配置一个对应的schema名称,并且通过系统属性"zookeeper.authProvider.[schema_name]"来配置新定义的AuthenticationProvider实现类,这样在ProviderRegistry初始化时会自动加载。接下来,还需要设置系统属性"zookeeper.ssl.authProvider=[schema_name]",这样,新定义的AuthenticationProvider才可以被应用在安全认证中。

实现细节

NettyServerCnxnFactory构造函数中初始化ChannelPipeline时调用初始化SSL的方法:

NettyServerCnxnFactory#initSSL方法的实现如下:

CnxnChannelHandler#channelConnected方法的定义如下:

当SslHandler中的handshake Future中的监听者被触发以后,由CertificateVerifier来对证书的合法性进行校验,而CertificateVerifier对证书进行校验的操作是由X509AuthenticationProvider或者自定义的扩展实现类来完成:

Reference

  1. Client-Server Mutual Authentication
  2. ZOOKEEPER-938
  3. ZOOKEEPER-2125
  4. ZooKeeper SSL User Guide
  5. SSL/TLS协议运行机制的概述
hyg0406
关注
ZooKeeper部署全攻略——TLS/SSL安全认证
bbsxb520的博客
07-03 791
zookeeper的TLS/SSL证书制作、配置修改,以及客户端和KAKFA的配置说明
ZooKeeper SSL User Guide
jxchallenger的专栏
09-24 358
ZooKeeper SSL User Guide - Apache ZooKeeper - Apache Software Foundation
kafka开启SSL认证(包括内置zookeeper开启SSL
m0_37817986的博客
11-09 1975
zookeeper和kafka的SSL开启都可独立进行。
zookeeper 开启ssl认证与客户端服务端通信方法 详细攻略
LastSong_的博客
03-24 3643
zookeeper 开启ssl认证与客户端服务端通信方法 详细攻略前言前置需求1 修改zoo.cfg2 修改zkCli.sh3 客户端操作客户端连接zk时需要添加如下配置 前言 最近公司有需求,zk集群必须添加ssl认证,网上找了很多方法,都不是很详细,在经过多番折腾之后,有了这篇文章 前置需求 要预先生成好客户端与服务端的ssl证书,参考我的另一篇文章 链接: ssl证书生成 详细流程 1 修改zoo.cfg 将clientPort替换为 secureClientPort=2281 并添加如下配置 se
kafka 集群安全认证机制的设计实现
将臣三代的博客
06-24 719
SSL/TLS:用于加密客户端和服务器之间的通信,防止数据在传输过程中被窃听和篡改。:用于身份验证,支持多种认证方式,如GSSAPI(Kerberos)、PLAIN、SCRAM-SHA-256、SCRAM-SHA-512 等。:用于授权控制,定义哪些用户可以访问哪些资源(如 Topic 和分区)。SSL/TLS 加密:保护数据传输的安全性。SASL 认证:支持多种认证方式(如 Kerberos、PLAIN、SCRAM-SHA-256 等),确保身份认证安全性。ACL 授权。
Zookeeper学习:Zookeeper安全认证
txd2016_5_11的博客
01-12 6274
Zookeeper安全认证,在于其ACL(Access Control List)。Zookeeper提供了三种权限控制机制:权限模式、授权对象、权限; 权限模式:Scheme,一般使用如下四种权限模式;        IP:IP模式通过IP地址粒度来进行控制权限。当然,也支持网段分配;        Digest:最常用的权限控制模式,类似于“username:password”形式的权...
zookeeper 安全认证
09-09
2. 编辑`jaas.conf`文件,该文件指定了SASL认证机制和用户信息。一个简单的示例配置如下: ``` Server { org.apache.zookeeper.server.auth.DigestLoginModule required user_admin="password"; }; ``` 在此示例...
zookeeper安全认证和实际应用
上善若泪
03-26 1676
文章目录1 zk的安全认证1.1 zookeeper的ACL1.2 代码说明2 zk的实际应用2.1 在eclipse中添加工具2.2 代码说明2.2.1 服务器端2.2.2 客户端一2.2.3 客户端二2.2.4 测试端 1 zk的安全认证 1.1 zookeeper的ACL ACL(Access Control List),Zookeeper作为一个分布式协调框架,其内部存储的都是一些关乎分布...
ZooKeeper性能优化实战:大规模Hadoop集群的性能提升策略
ZooKeeper是一个开源的分布式协调服务,它为分布式应用提供一致性服务,类似于一个可靠的文件系统。ZooKeeper能确保分布式环境中的数据同步、配置管理、命名服务、分布式锁以及集群管理等。它将复杂的分布式系统操作...
kafka与zookeeperSSL认证教程
最新发布
乐维社区的博客
07-11 1960
setAcl / ip:127.0.0.1:cdrwa,auth:kafka:kafka@123:cdrwa #(设置可以登陆的IP和用户账号密码,admin是上面的zk的配置文件里面定义的管理员,Kafka用户是/asop/kafka/kafka_2.11-2.1.0/config/kafka_server_jaas.conf文件里面的定义的kafka连接zk的用户 (Client下面的))/asop/zk/zookeeper-3.4.13/bin/zkCli.sh #进入zk的命令行模式。
Zookeeper-请了解下
u010889990的专栏
05-25 961
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 本套课程将带领大家从零开始学习Zookeeper的使用以及部署 课程大纲如下: 课程介绍 基本概念 单机部署 数据节点 权限控制 ZK客...
使用x.509证书对客户端进行身份验证
学习Docker的长征之路
10-12 170
实现Mongodb实现对客户端使用证书验证,补全官方文档被略去步骤。
Zookeeper的集群安全配置与权限管理
AI天才研究院
01-28 900
1.背景介绍 1. 背景介绍 Apache Zookeeper是一个开源的分布式协调服务,用于构建分布式应用程序的基础设施。它提供了一种可靠的、高性能的协调服务,以解决分布式应用程序中的一些常见问题,如集群管理、配置管理、领导选举、分布式同步等。 在分布式应用程序中,安全性和权限管理是至关重要的。Zookeeper需要提供一种安全的方法来保护其数据和服务,以防止未经授权的访问和篡改。此外,Z...
zookeeper集群搭建
zeorg的博客
01-17 380
zookeeper有一个特点就是集群数量只能是奇数 原因:他的选举方式是半数以上才能选择出主或者是从,如果是4个节点,那么就无法选取,并且还有一个就是会选取出两个主来,也就是防脑裂。 系统环境:centos7(提前关闭防火墙和selinux) IP 节点名称 192.168.182.150 master 192.168.182.151 node-1 192.168.182.152 node-2 1、修改节点名称。 相应节点执行相应命令 hostnamectl set-hostna
ZooKeeper管理员指南--基于3.6.2版本
sparrowxin的博客
11-05 1433
ZooKeeper管理员指南前言部署系统要求支持的平台依赖软件集群搭建 前言 翻译自ZK官网 原文 部署 系统要求 支持的平台 客户端 : Java 库, 客户端 服务端 : Java 库, 服务端 本地客户端: C语言绑定的客户端 第三方贡献: 一些插件 基本上就是说, GNU/ Linux 支持上面全部4种, 前面两种Java库的全平台支持, 毕竟跨平台嘛, 最后两种只有 GNU/Linux 支持, 其他平台都不支持 依赖软件 需要Java 8 或者以上 (JDK8 LTS, JDK 11 L
Zookeeper入门
weixin_52972575的博客
08-02 1812
zookeeper入门
开启zookeeper安全认证功能,并配置kafka对zookeeper的身份验证
热门推荐
zhang5324496的博客
12-21 3万+
目录 1-- 为啥需要开启zookeeper认证 2-- 如何开启zookeeper认证 2.1-- 修改文件 zoo.cfg, 开启认证功能 2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf) 2.3-- 设置jaas.conf的权限,权限是 zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root 2.4-- 更新zookeeper的JVM flags 2.5...
Kafka 安全认证及权限控制
小王是个弟弟
07-20 1万+
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
Zookeeper安全性与权限管理
AI天才研究院
01-21 1007
1.背景介绍 1. 背景介绍 Apache Zookeeper是一个开源的分布式协调服务,用于构建分布式应用程序的基础设施。它提供了一种可靠的、高性能的、分布式的协同服务,以实现分布式应用程序的一致性。Zookeeper的核心功能包括:集群管理、配置管理、同步服务、组件协同等。 在分布式系统中,Zookeeper安全性和权限管理非常重要。它可以确保Zookeeper集群的数据安全,防止未经...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值