【zookeeper】ACL

最新推荐文章于 2024-03-28 09:30:00 发布
最新推荐文章于 2024-03-28 09:30:00 发布
阅读量582 收藏
点赞数
分类专栏: zookeeper 文章标签: zookeeper 管理 acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010900754/article/details/78504292
版权

ACL全称是access control list,是zk中控制访问权限的一种策略。

大致的思路是任何人都可以登录zk,但是登录以后,zk的节点树的每一个节点都有自己的访问控制,所以用户登录以后需要先添加自己此次登录的权限,然后才能访问相应的节点。如果没有某一个节点的权限,那么zk会报错。

传统的访问控制最经典的是linux系统的基于user,group和other三种类型的权限控制。这种控制权限方案是粗粒度的,因为用户1创建了f文件,用户1属于g1和g2两个组,那么如果想让g1和g2拥有对f不同的权限是不行的,因为g1和g2都属于f的g权限,肯定是相同的,所以这就是linux这种权限控制的弊端。

zk的acl是一个三元组:<schema,id,permission>

schema是acl的类型,zk的acl权限有以下四种常用类型:

1.world:这是zk创建节点以后的默认acl类型,其实相当于不设置权限,任何人都可以操作和访问;

2.digest:这个应该是最常用的类型,相当于用户名和密码这种;

3.super:超管模式,需要在启动zk服务器时添加,主要用于管理忘记acl的节点;

4.ip:通过ip来限制访问。


id指的是实体,实体又是什么?这个是和schema相关的,每一种schema的实体的类型是不同的。说白了就是这个schema指定的acl类型的内容。


这是schema和id的对应关系:

ip的schema,id就是允许的ip地址。当然zk允许以网段的形式来配置,比如“ip:192.168.1.*” 和 “ip:192.168.1.10/16”。

world的schema,id只能是固定的“anyone”。

super和digest一样,但是需要在启动脚本配置。

digest:id就是用户名和密码,但是密码并不是明文,而是一个哈希值,这也是一种比较好的服务端存储客户端密码的方式,存密码的哈希而不是明文的好处有:一旦服务器的密码被泄露,窃听者也不会得到密码,安全系数更高。那么格式就是上表所示。我们指定了用户名和密码以后,如何得到哈希值呢?可以使用zk提供的工具。

String m = DigestAuthenticationProvider.generateDigest("ly:123");
使用如上函数即可得到。


permission:

总共有五种权限

c:在当前节点创建子节点;

d:在当前节点删除子节点;

r:获取数据;

w:写入数据;

a:设置acl权限;

需要注意的是,zk的权限是不继承的。


下面看一下使用zk客户端脚本的例子:

可以使用getAcl 和setAcl命令来获取和设置节点acl。

创建一个新的节点/Tacl,查看默认acl:


可以看到默认的acl'是world:anyone,权限是dcrwa。

设置一个digest的acl,ly:123.权限是ra。

哈希值是:

ly:4y+/eVxq19jjdUAGDetnozMNvls=


查看当前的acl:


此时我们只有ra权限,如果write值会报错:


重新登录下,然后使用addauth命令添加权限:


修改为ip的schema:




下面是使用java的api的例子:

使用addAuthInfo函数来添加权限,也就是在使用ZooKeep实例登录zk以后。

public static void main(String[] args) {
		try {
			ZooKeeper zk = new ZooKeeper("127.0.0.1:2181", 5000, null);
			zk.addAuthInfo("digest", "ly:123".getBytes());
			System.out.println(zk.getData("/Tacl", false, null));
			
			ZooKeeper zk1 = new ZooKeeper("127.0.0.1:2181", 5000, null);
			System.out.println(zk1.getData("/Tacl", false, null));
			
		} catch (IOException e) {
			e.printStackTrace();
		} catch (KeeperException e) {
			e.printStackTrace();
		} catch (InterruptedException e) {
			e.printStackTrace();
		}
	}
这里的/Tacl节点是digest类型的acl,有rwa权限。然后创建了两个zk客户端,第一个加了auth,第二个没加,最后只有第一个可以获取data:



接下来,我们在上面的基础上使用api修改权限。

public static void main(String[] args) {
		try {
			ZooKeeper zk = new ZooKeeper("127.0.0.1:2181", 5000, null);
			zk.addAuthInfo("digest", "ly:123".getBytes());
			
			List<ACL> acls = new ArrayList<ACL>();
			Id id1 = new Id("digest", DigestAuthenticationProvider.generateDigest("ly:999"));
			ACL acl1 = new ACL(Perms.READ | Perms.WRITE | Perms.ADMIN, id1);
			acls.add(acl1);
			
			Id id2 = new Id("world", "anyone");
			ACL acl2 = new ACL(Perms.READ, id2);
			acls.add(acl2);
			
			zk.setACL("/Tacl", acls, -1);
			
		} catch (IOException e) {
			e.printStackTrace();
		} catch (KeeperException e) {
			e.printStackTrace();
		} catch (InterruptedException e) {
			e.printStackTrace();
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		}
	}

ID类封装了acl的id信息。ACL类封装了一个acl的信息,需要有id和perm,perm是枚举类型,也就是权限,可以使用或操作连接多个。每一次设置acl的时候,我们都可以设置多个acl,这就是为什么setAcl函数需要一个ACL的List类型。

在上面的例子,我们为/Tacl节点添加了两种acl,一个是digest的,有rwa,另一个是world,只有r。

运行以后,再登陆客户端检查权限:


设置成功。

绝世好阿狸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache ZooKeeper - ZKACL权限控制( Access Control List )
小工匠
11-18 1万+
文章目录概述 概述 ACL全称为Access Control List(访问控制列表),用于控制资源的访问权限,可以控制节点的读写操作,保证数据的安全性 。 ZooKeeper使用ACL来控制对其znode的防问。 Zookeeper ACL 权限设置分为 3 部分组成,分别是:权限模式(Scheme)、授权对象(ID)、权限信息(Permission) 基于scheme????permission的方式进行权限控制: scheme表示授权模式、id模式对应值、permission即具体的增删改权限位。
ZK/zookeeper常规命令 | Watch监控命令的使用 | ACL权限操作 | Four Letter Words四字命令详解 | 配置super超级用户权限 | 总结的很全面,你会喜欢吗
血煞长虹 的专栏
12-08 8512
文章力求用最精简的语言,全面系统的介绍了zk各种命令的使用,这些命令都很重要,可以不用完全熟记,但是不可不知,温故而知新。 get set 是一些常规操作命令,Watch命令用来监听节点的各种变化(java项目实战用的比较多),nc命令有时候也不可或缺,比如dump命令。 全文根据命令的分类:常规、watch监控、Acl权限、nc四字命令,共分为四大章节。可更加目录,快速定位查看。
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4248
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
Zookeeper(2)常用命令,ACL权限
一个后端菜鸟的博客
03-18 1427
Zookeeper 常用命令和ACL权限等
zookeeper--ACL详解
qq_41768644的博客
03-28 1653
zookeeper ACL权限详解 addauth 详解
Zookeeper-Access Control List(ACL)
CoderLi
05-23 346
概述 Z K作为一个分布式协调框架、内部存储着一些分布式系统运行时状态的元数据。如何有效的保护这些数据的安全、如何做一个比较好的权限控制显得非常的重要。 ZK 为我们提供一套完善的 ACL(access control list,访问控制列表) 权限控制机制来保障数据的安全。 ACL 介绍 我们可以从三个方面来理解 ACL 机制 Scheme 权限模式 Id 授权对象 Permission 权限 通常使用 scheme:id:permission来标志一个有效的 ACL 信息、我们先来看看我们默认的数据
zookeeper配置相应的acl权限
08-29
Zookeeper 权限配置 ACL Zookeeper 是一个高可用的分布式协调服务,可以为分布式应用程序提供配置维护、命名、提供分布式同步和GROUP服务。为了确保 Zookeeper 的安全性和可靠性,需要配置相应的 ACL 权限。本文将...
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
java连接zookeeper,并增加acl权限.docx
07-09
Java 连接 ZooKeeper 并增加 ACL 权限 ZooKeeper 是一个开源的分布式应用程序协调服务,由 Apache 软件基金会提供。它提供了许多功能,如配置管理、名字服务、分布式同步、组服务等。 Java 是一种广泛使用的编程...
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
zookeeper 3.8.4
最新发布
05-17
- **安全增强**:支持 SASL 认证和 ACL 策略,提升了系统的安全性。 - **监控与日志**:提供了更详细的监控指标和日志记录,便于诊断和调试。 - **API 更新**:优化了 Java 和 C API,增强了易用性和兼容性。 ###...
zookeeper学习笔记(三)zk中的watch,acl和授权模式
liutao43的博客
04-01 553
watch 理解成是注册在特定Znode上的触发器。当这个Znode发生改变,也就是调用了create,delete,setData方法的时候,将会触发Znode上注册的对应事件,请求Watch的客户端会接收到异步通知。 也就是说: 1.客户端调用读方法,watch参数是true。服务端接到请求,返回节点数据,并且在对应的哈希表里插入被Watch的Znode路径,以及Watcher列表。 2.当被Watch的Znode发生改变,服务端会查找哈希表,找到该Znode对应的所有Watcher,异步通知客户端,
ZK ACL访问控制处理流程
javahigh1
11-04 266
Zk 对znode操作采用ACL进行了访问权限控制,类似于linux提供的读写权限,ZK将操作权限划分以下几种:CREATE/READ/WRITE/DELETE/ADMIN, ·CREATE: 表示有权限创建一个子节点 ·READ: 表示可以getData或者getChildren ·WRITE: 表示可以setData ·DELETE: 表示可以delete子节点 ·ADMIN: 表示...
分布式服务管理框架-Zookeeper节点ACL
技术改变生活
11-14 6312
ACL全称为Access Control,用于控制资源的访问权限。zk利用ACL策略控制节点的访问权限,如数据读写、创建/删除/读取子节点、设置节点权限等。 在传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,一个属组包含多个权限,一个文件或目录拥有某个组的权限即拥有了组里的所有权限,文件或子目录默认会继承自父目录的ACL。而在Zookeeper中,znode的ACL是没有继承关系的
Zookeeper源码阅读(五) ACL基础
a814333256的博客
10-19 193
前言 之前看代码的时候也同步看了看一些关于zk源码的博客,有一两篇讲到了ZKACL的基础的结构,我自己这边也看了看相关的代码,在这里分享一下! ACL和ID ACL和ID都是有Jute生成的实体类,分别代表了ZKACL和不同ACL模式下的具体实体。 ACL: public class ACL implements Record { private int perms; pri...
zk004 - zkACL介绍
idler_bm的专栏
03-29 2063
传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,znode的ACL是没有继承关系的,是独立控制的。zookeeper支持的权限 CREATE(c): 创建权限,可以在在当前node下创建child node DELETE(d): 删除权限,可以删除当前的node READ(r): 读权限,可以获取当前node的数据,可以li
Zookeeper针对ip网段的ACL
Zuxiaohui的博客
05-23 3234
最近想在生产环境中给zookeeper加ip网段的权限控制,试了下发现一直报错:Acl is not valid 。官网和网上博客都说可以针对ip网段加ACL,但是没人实验成功过。最后在StackOverflow 上找到答案,因为生产环境的zookeeper版本是3.4.12,而版本为3.4.*的zookeeper虽然支持单个ip的白名单设置,可同时设置多个ip,但是不支持ip网段...
zk acl - 默认匿名权限
qq690452074的专栏
02-19 226
ZooKeeper-ACL(Access control List)
一只小星星
03-29 697
文章目录前言权限说明认证说明详细测试 前言 ZooKeeper作为分布式系统中重要的中间件,节点上会存储一些关键信息。如果权限没有控制好,就会带来很大的问题。下面,我来介绍一些ACL(控制访问列表)。 权限说明 权限是作用在每个znode上的。 权限总共有CREATE、READ、WRITE、DELETE、ADMIN,就是增删改查管理员,简写为crwda。 父权限不会影响子权限。(有特殊情况) 删...
zookeeper ACL
08-17
ZookeeperACL是Access Control List的缩写,用于对节点的权限进行控制。类似于Unix文件系统,Zookeeper的节点可以看作是文件,客户端可以删除、创建和修改节点。ACL可以用来管理节点的访问权限。 取消ACL相关权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值