zk权限方案

最新推荐文章于 2024-07-01 15:07:39 发布
最新推荐文章于 2024-07-01 15:07:39 发布
阅读量6.6k 收藏 12
点赞数 1
分类专栏: kafka 文章标签: zk权限 kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sammory/article/details/82592994
版权

1. 方案背景

Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL;认证机制主要是指配置SASL,而授权是通过ACL接口命令来完成的。

  本方案主要是解决kafka和zk之前的权限认证问题,即ZK的数据安全性问题,而对于kafka本身的权限控制没有做说明。

ZooKeeper作为一个分布式协调框架,内部存储的都是一些分布式系统运行时状态的元数据。zookeeper本身提供了ACL机制,表示为scheme:id:permissions,第一个字段表示采用哪一种机制,第二个id表示用户,permissions表示相关权限(如只读,读写,管理等)。zookeeper提供了如下几种机制(scheme):

  1. world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
  2. auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)
  3. digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication
  4. ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
  5. super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)

注意ACL并无递归机制,任何一个znode创建后,都需要单独设置ACL,无法继承父节点的ACL设置

 

权限:Permission

对数据节点的控制操作权限分为

最低0.47元/天 解锁文章
sammory
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SMC ZK2-ZSEA-A设置方法
12-06
- **故障一览表**:列出了常见问题及其解决方案。 - **报警显示功能**:介绍如何解读设备发出的各种警报。 #### 八、规格表 最后,手册还包含了一个详细的规格表,其涵盖了ZK2-ZSEA-A的所有关键参数和技术指标,...
ZK文开发手册 html
01-19
12. **案例研究与示例**:通过实际项目案例,帮助读者理解ZK在不同应用场景下的解决方案。 通过阅读和实践《ZK开发手册(文)》,开发者不仅能掌握ZK框架的基本用法,还能深入了解其高级特性和最佳实践,从而更高效...
kubernetes视频教程笔记 (31)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-15 432
一、Authorization 上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。 API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “--authorization-mode” 设置) AlwaysDeny:表示拒绝所有的请求,一般用于测试 AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略 ABAC(Attribute-Based Access Control):...
zk添加访问白名单
独孤飞磊
11-20 2802
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
Kafka集群之-ZooKeeper未授权访问漏洞修复
最新发布
weixin_39863120的博客
07-01 845
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
zookeeper学习笔记(三)zk的watch,acl和授权模式
liutao43的博客
04-01 572
watch 理解成是注册在特定Znode上的触发器。当这个Znode发生改变,也就是调用了create,delete,setData方法的时候,将会触发Znode上注册的对应事件,请求Watch的客户端会接收到异步通知。 也就是说: 1.客户端调用读方法,watch参数是true。服务端接到请求,返回节点数据,并且在对应的哈希表里插入被Watch的Znode路径,以及Watcher列表。 2.当被Watch的Znode发生改变,服务端会查找哈希表,找到该Znode对应的所有Watcher,异步通知客户端,
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4326
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
Zookeeper的ACL权限控制
qq_36746807的博客
04-19 628
Zookeeper的ACL权限控制,可以控制节点的读写操作,保证数据的安全性,Zookeeper ACL权限设置分为3部分组成,分别是:权限模式(Scheme)、授权对象(ID)、权限信息(Permission)。数据节点(r:read)读取权限,授予权限的对象可以读取该节点的内容以及子节点的列表信息;数据节点(a:admin)管理者权限,授予权限的对象可以对该数据节点体进行ACL权限设置。数据节点(d:delete)删除权限,授予权限的对象可以删除该数据节点的子节点;
zktecheu_sdktools_release_10-10-18_0_zk_DE_
09-29
使用这个SDK,开发者能够轻松集成ZK设备的功能到自己的应用程序,例如构建考勤系统、门禁管理、身份验证解决方案等。通过访问ZK的官方页面,开发者可以获得最新的更新、技术支持和社区资源,以便更好地利用这个SDK...
Demmare_delphi_Help!_zk_accesscontrol_源码
10-02
"可能表明这是一个针对Delphi初学者或者开发者遇到问题时寻求帮助的资源,它可能包含了解决常见问题的代码示例或解决方案。"zk accesscontrol"可能是指使用了ZKZK Framework)进行界面开发,并且与访问控制有关,...
lib-test-tad-php.zip_TAD_statement2bd_zk attendance
09-21
ZK公司是全球知名的生物识别技术和时间管理解决方案提供商,他们的考勤设备广泛应用于企业、学校等场所,用于记录员工的签到签退信息。 这个库可能包含以下功能: 1. 设备连接:提供连接到ZK考勤设备的接口,可能...
实战:kafka、zookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6801
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
Zookeeper Authentication is not valid无权限
10-11 3717
问题: springboot项目使用dubbo,配置文件使用了用户名密码 通过./zkCli.sh -server host:port连接zk后访问无权限。 解决方法: 先添加一个用户 addauth digest 账户名:密码 账号密码和项目配置的一样 然后进行查看 ...
zookeeper 集群配置文件增加账号认证
网络战争的博客
01-18 887
4. 设置环境变量:在每个Zookeeper服务器上设置环境变量,指定`ZOO_OPTS`为`-Djava.security.auth.login.config=zoo_jaas.conf`。该文件将用于配置Zookeeper的权限设置。3. 创建一个JAAS登录文件:在`zoo.cfg`文件同级目录下创建一个命名为`zoo_jaas.conf`的文件,用于存储Zookeeper的登录凭据。其,`Server`是一个标识符,`user_admin`是用户名,`adminpassword`是密码。
zookeeper添加访问控制
weixin_45460314的博客
04-09 876
zookeeper添加访问控制zookeeper添加访问控制 方法1./zkCli.sh -server 192.168.21.1.111:2181 addauth digest szxy_v6:Zdsoft123com setAcl -R /dubbo auth:szxy_v6:Zdsoft123com:cdrwa方法2 查看当前权限getAcl /添加可访问IPsetAcl / ip:192.168.1.112:cdrwa,ip:192.168.1.113:cdrwa,ip:127.0.0.1:cdr
Kafka配置SASL/PLAIN ACL
z185665096的专栏
05-12 2974
版本说明 操作系统版本:CentOS Linux release 7.4.1708 (Core) Kafak版本:kafka_2.12-2.0.1.tgz Zookeeper:Kafka内置(3.4.13)echo stat|nc localhost 2181 建议小伙伴们先采用与本文一致的Kafka版本先行测试配置,然后再根据自己的情况进行调整,本人因为版本问题遇到的坑太多了,o(╥﹏╥)o!!! Zookeeper配置 首先进如kafka根目录 说明:本文使用的Zookeeper为Kafka内置版本
开启zookeeper的安全认证功能,并配置kafka对zookeeper的身份验证
热门推荐
zhang5324496的博客
12-21 2万+
目录 1-- 为啥需要开启zookeeper认证 2-- 如何开启zookeeper认证 2.1-- 修改文件 zoo.cfg, 开启认证功能 2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf) 2.3-- 设置jaas.conf的权限权限是 zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root 2.4-- 更新zookeeper的JVM flags 2.5...
zookeeper节点类型、常用命令及ACL管理权限
mg1123的博客
10-26 1117
zk节点和节点类型节点类型:1、PERSISTENT--持久化目录节点客户端与zookeeper断开连接后,该节点依旧存在2、PERSISTENT_SEQUENTIAL-持久化顺序编号目录节点客户端与zookeeper断开连接后,该节点依旧存在,只是Zookeeper给该节点名称进行顺序编号3、EPHEMERAL-临时目录节点客户端与zookeeper断开连接后,该节点被删除,临时节点不可以创建子节点4、EPHEMERAL_SEQUENTIAL-临时顺序编号目录节点。
ZooKeeper设置ACL权限控制
专注技术交流、咨询
12-19 1万+
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写) 注:这5种权限,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限 身份的认证有4种方式: world:默认方式,相当于全世界都能访问 auth:代表已经认证通过的用户(cli可以通
ZK框架错误修复指南:常见异常解析与解决方案
解决方案是先检查列表是否为空,然后再进行访问,以避免这类异常。 这些错误和解决方法都是在ZK框架下常见的问题实例,对于开发者来说,理解和解决这些问题有助于提升在ZK框架下的开发效率和代码质量。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值