Zookeeper权限控制ACL详解

最新推荐文章于 2024-06-28 17:05:21 发布
最新推荐文章于 2024-06-28 17:05:21 发布
阅读量4.1k 收藏 22
点赞数 3
分类专栏: Zookeeper 文章标签: zookeeper 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40837310/article/details/106826963
版权

概述

Zookeeper类似于unix文件系统,节点类比文件,客户端可以删除节点,创建节点,修改节点。Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制。

acl权限控制使用:scheme🆔permission来标志,主要涵盖三个方面:

  • 权限模式(scheme):授权的策略。
  • 权限对象(id):授权的对象。
  • 权限(permission):授予的权限。
Zookeeper acl的特性:
  1. Zookeeper的权限控制是基于znode节点的,需要对每个节点设置权限。
  2. 每个znode支持设置多种权限控制方案和多个权限。
  3. 子节点不会继承父节点的权限。客户端无法访问某个节点,但是可以访问他的子节点。

权限模式种类

模式描述
world这种模式方法的授权对象只有一个anyone,代表登录到服务器的所有客户端都能对该节点执行某种权限
ip对连接的客户端使用IP地址认证方式进行认证
auth使用以添加认证的用户进行认证
digest使用 用户:密码方式验证

权限的类型

类型ACL简写描述
readr读取节点及显示子节点列表的权限
writew设置节点数据的权限
createc创建子节点的权限
deleted删除子节点的权限
admina设置该节点ACL权限的权限

关于授权的命令

命令用法描述
getAclgetAcl path读取节点的ACL
setAclsetAcl path acl设置节点的ACL
createcreate path data acl创建节点时设置acl
addAuthaddAuth scheme auth添加认证用户,类似于登录操作
实战
  1. 查看节点acl
    在这里插入图片描述
    这是创建节点时的默认acl ,表示任何连接到Zookeeper的客户端都能对该节点进行cdrwa操作。

权限设置要使用模式 acl的模式为 scheme: id:permission 比如 world:anyone:cdwa

world权限模式实战

world权限模式只有一种设置模式。就是 setAcl world:anyone:[r][w][c][d][a]

  1. 取消节点读取数据权限:
    使用命令 setAcl /node1 world:anyone:cdwa
    在这里插入图片描述
    设置以后尝试读取/node1节点将是没有权限 Authentication is not valid

  2. 取消节点设置数据的权限
    在这里插入图片描述

  3. 取消节点创建子节点的权限
    在这里插入图片描述

  4. 取消删除子节点的权限
    在这里插入图片描述

  5. 取消ACL相关权限
    在这里插入图片描述
    取消了a权限以后,getAcl setAcl命令都没有权限。

IP权限模式实战

该模式使用的acl方式是 ip:192.168.10.127:[a][d][c][w][r]
在这里插入图片描述
设置只有ip为192.168.18.135的客户端连接才能进行adc操作,其他ip啥操作都做不了。因为图中设置ACL的客户端不是这个ip,所以设置了后,他就失去对该节点的权限了,所以getAcl命令会没有权限。

在这里插入图片描述
这个是ip为192.168.18.135的客户端连接,有a权限,所以能够执行getAcl操作。但是没有r权限,所以还是不读读取节点数据。

auth授权模式实战

这个要配合addauth命令。
第一步:先添加授权用户 addauth digest username:password
第二步:设置该节点只有登录了该授权用户的客户端连接才能进行操作。
setAcl /path auth:username:acl
12在这里插入图片描述
0uek/hZ/…是账号admin 和密码123456 经过sha1和base64加密后的密文密码。

把客户端quit退出重新连接后:
在这里插入图片描述
失去了对该节点的权限。需要使用addauth命令添加授权才行。类似登录之后才能对该节点有权限。
在这里插入图片描述

digest授权模式实战

digest授权模式基于账号密码的授权模式,与Auth模式类似,只是他设置权限之前不用使用
addauth digest username:password进行权限用户添加。

直接使用命令 setAcl path digest:username:password:acl 进行授权就行。只是这里的密码要使用加密后的密码,不能使用铭文密码。

可以使用linux命令进行
echo -n username:password | openssl dgst -binary -sha1 | openssl base64 得到加密后的密码,这里的password是铭文密码

在这里插入图片描述
复制加密后的密码

在这里插入图片描述
设置权限后已经没有该节点的权限了,原因是我们没有登录。
在这里插入图片描述
登录后就有该节点的权限了,登录使用明文密码进行登录。

设置多个权限

可以设置多种acl,用逗号隔开就行。
在这里插入图片描述

以上权限是ip为192.168.18.130的客户端具有adc权限。
用admin登录的用户具有adcwr权限。
所有人都要r权限。

测试 用admin登录的用户具有adcwr权限。需要quit退出重新连接,因为你当前已经添加了该用户的授权。
这里就不粘图了。

我会努力变强的
关注
  • 3
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
zookeeper ACL(access control lists)权限控制
weixin_33946020的博客
03-12 173
基本作用: 针对节点可以设置相关读写等权限,目的为了保障数据安全性 权限permissions可以制定不同的权限范围以及角色 一:ACL构成 zkacl通过[scheme:id:permissions]来构成权限列表 scheme:代表采用的某种权限机制 id:代表允许访问的用户 perm...
Zookeeper分布式入门——ZK命令行【ACL权限控制
风雨的博客
08-18 767
ACL权限控制 针对节点可以设置相关读写等权限,目的为了保障数据安全性 权限permissions可以指定不同的权限范围以及角色 ACL命令行 getAcl:获取某个节点的acl权限信息 setAcl:设置某个节点的acl权限信息 addauth:输入认证权限信息,注册时输入明文密码(登录)但是在zk的系统里,密码时以加密的形式存在的 ACL的构成 一 zkacl通过[scheme
zk客户端设置节点acl权限报错Acl is not valid : /abc或者KeeperErrorCode = InvalidACL for /abc
最新发布
IC9566的博客
06-28 271
zookeeper节点以ip模式设置acl权限写为localhost报错
说说Zookeeper中的ACL
热门推荐
就是你的博客
08-07 1万+
Access Control在分布式系统中重要性是毋庸置疑的,今天这篇文章来介绍一下Zookeeper中的Access Control(ACL)。 1. 概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。ZookeeperACL,可以从三个维度来理解:一是sch
zookeeper--ACL详解
qq_41768644的博客
03-28 2117
zookeeper ACL权限详解 addauth 详解
Zookeeper中的ACL
weixin_34349320的博客
03-20 138
为什么80%的码农都做不了架构师?>>> ...
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4398
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
zookeeper(五):Zookeeper中的Access Control(ACL)
dichengyan0013的博客
10-16 106
概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。 ZookeeperACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍: 1...
zookeeper python接口实例详解
09-20
2. **创建节点**:使用 `zookeeper.create` 创建节点,可以指定节点的 ACL(访问控制列表)。 3. **读取节点数据**:使用 `zookeeper.get` 获取节点的数据和元数据(例如版本号)。 4. **更新节点数据**:使用 `...
zookeeper配置详解
03-11
- **安全性**:为提高安全性,可以通过设置ACL(访问控制列表)来控制客户端对特定节点的访问权限。 - **备份与恢复**:定期备份`dataDir`目录下的数据文件,并确保能够及时恢复数据。 #### 六、总结 通过对...
zookeeper详解
02-01
此外,每个Znode还具有ACL(Access Control List)属性,用于控制对该节点的访问权限。 3. **操作(Operations)**:Zookeeper定义了一系列的操作,如创建节点(`create`)、获取节点数据(`get`)、设置节点数据(`set`)、...
zookeeper客户端连接工具
05-15
3. **监控节点状态**:ZooInspector能实时展示节点的版本号、ACL(访问控制列表)、ephemeral(临时节点)状态等,帮助我们了解节点的生命周期和状态变化。 4. **故障排查**:当Zookeeper服务出现问题时,如节点...
zookeeper连接工具zktools
02-26
4. **权限管理**:Zookeeper支持ACL(Access Control List)权限管理,ZkTools也提供了相应的操作接口,方便用户管理节点的访问权限。 5. **事务操作**:ZkTools支持执行多条操作指令作为一个事务,确保原子性和...
Zookeeper ACL
Doub1's Blog
05-13 180
Zookeeper ACL控制命令名词解释创建节点设置ACL创建Auth Digest设置ACL策略setAcl auth 例子:setAcl digst 例子:密文生成 命令名词解释 acl Access Control List 访问控制列表 auth Authentication 身份认证,在这里就解释为身份认证比较合理 并不是Authorization(授权),至于为什么下面会说。 digst Digest 摘要认证 创建节点 创建一个普通节点,节点名为nodeName creat
zookeeper ACL使用
weixin_30747253的博客
09-11 62
生产环境中,经常会有多个项目使用zookeeper,例如多个hbase集群。每个项目搭建一套独立的zookeeper,无论从机器成本,还是运维成本,都是一笔额外的开销。 然而多项目,多集群共用zookeeper又涉及一个权限隔离的问题。zookeeper本身提供了ACL机制,表示为scheme:id:permissions,第一个字段表示采用哪一种机制,第二个id表示 用户,per...
zookeeperACL
summer_thirtyOne的博客
07-13 737
Zookeeper ACL的实现和UNIX的文件访问权限十分相似,它采用权限位去允许或者禁止对节点个各种操作,包括节点的位范围。但与UNIX的文件访问权限不同的是,ACL不能基于创建者、创建者所在的组和其它用户分配不同的权限ACL没有Znode的权限拥有者,相反,ACL指定一系列的权限和Ids并将它们起来。 ACL权限: CREATE :可以创建一个子节点 READ:可以获取节点内
zookeeper -- 第五章 zookeeper ACL讲解
weixin_34303897的博客
01-20 177
2019独角兽企业重金招聘Python工程师标准>>> ...
zookeeperACL(访问控制)
sky198989的博客
03-02 293
转载:https://www.jianshu.com/p/868f89a70c2c
【大数据Zookeeper系列】 Zookeeper ACL
weixin_54707168的博客
04-09 218
为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值