Zookeeper(七)ACL

最新推荐文章于 2024-04-09 16:51:49 发布
最新推荐文章于 2024-04-09 16:51:49 发布
阅读量165 收藏
点赞数
分类专栏: Zookeeper 文章标签: zookeeper 大数据 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44671233/article/details/118435836
版权
1. Shell 操作

zookeeper本身提供了ACL机制,表示为scheme: id:permissions,第一个字段表示采用哪一种机制,第二个id表示用户,permissions表示相关权限(如只读,读写,管理等)。

(1)scheme :id 介绍
  • world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
  • auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication),使用auth来设置权限的时候,需要在zk里注册一个用户才可以
  • digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication
  • ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
  • super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
(2)permissions
权限ACL简写描述
CREATEc可以创建子节点
DELETEd可以删除子节点
READr可以读取节点数据及显示子节点列表
WRITEw可以设置节点数据
ADMINa可以设置节点访问控制权限
(3)ACL Shell命令
命令使用方式描述
getAclgetAcl <path>读取ACL权限
setAclsetAcl <path><acl>设置ACL权限
addauthaddauth <scheme><auth>添加认证用户
(4)操作

World Scheme

其实默认就是World Scheme

语法

setAcl <path> world:anyone:<acl>

#随便创建一个节点
[zk: localhost:2181(CONNECTED) 61] create /wangjyedu 1
Created /wangjyedu
[zk: localhost:2181(CONNECTED) 62] getAcl /wangjyedu
'world,'anyone
: cdrwa

#在创建完成后相关节点,还可以通过setAcl的方式设置相关权限
[zk: localhost:2181(CONNECTED) 64] setAcl/wangjyedu  world:anyone:cdrw
cZxid = 0x1c631
ctime = Tue Jul 09 08:37:06 CST 2019
mZxid = 0x1c631
mtime = Tue Jul 09 08:37:06 CST 2019
pZxid = 0x1c631
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0
[zk: localhost:2181(CONNECTED) 67] getAcl /wangjyedu
'world,'anyone
: cdrw

IP Scheme

对于特定IP适用,其他没有设置过的IP没有相关权限

语法

setAcl <path> ip:<ip>:<acl>

#通过setAcl的方式设置相关权限
[zk: localhost:2181(CONNECTED) 73] setAcl /wangjy01 ip:192.168.123.111:cdrwa
cZxid = 0x1c635
ctime = Tue Jul 09 08:44:14 CST 2019
mZxid = 0x1c635
mtime = Tue Jul 09 08:44:14 CST 2019
pZxid = 0x1c635
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 78] getAcl /wangjy01
'ip,'192.168.123.111
: cdrwa

[zk: localhost:2181(CONNECTED) 79] get /wangjy01
Authentication is not valid : /wangjy01

Auth Scheme

语法

addauth digest <user>:<password> #添加认证用户
setAcl <path> auth:<user>:<acl>

# 创建一个用户
[zk: localhost:2181(CONNECTED) 81] addauth digest wjy:root
# 设置wangjy03节点的acl
[zk: localhost:2181(CONNECTED) 82] setAcl /wangjy03  auth:wjy:root
cZxid = 0x1c637
ctime = Tue Jul 09 08:47:00 CST 2019
mZxid = 0x1c637
mtime = Tue Jul 09 08:47:00 CST 2019
pZxid = 0x1c637
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 95] getAcl /wangjy03
'digest,'wjy:bbYGkKPfBgiZDzcwrmVylqDlXnI=
: cdrwa

**Digest Scheme **

语法

setAcl <path> digest:<user>:<password>:<acl>

计算密文

echo -n : | openssl dgst -binary -sha1 | openssl base64

[root@wangjy01 ~]# echo -n wjy:root | openssl dgst -binary -sha1 | openssl base64
Jcfx3JHSwzhuIB96LTMrrNltrFs=

[zk: localhost:2181(CONNECTED) 98] create /wangjy04 1
Created /wangjy04
[zk: localhost:2181(CONNECTED) 99] setAcl /wangjy04 digest:wjy:Jcfx3JHSwzhuIB96LTMrrNltrFs=:a
cZxid = 0x1c641
ctime = Tue Jul 09 08:59:18 CST 2019
mZxid = 0x1c641
mtime = Tue Jul 09 08:59:18 CST 2019
pZxid = 0x1c641
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0
[zk: localhost:2181(CONNECTED) 100] getAcl /wangjy04
'digest,'wjy:Jcfx3JHSwzhuIB96LTMrrNltrFs=
: a

# 当前是没有权限的
[zk: localhost:2181(CONNECTED) 101] get /wangjy04
Authentication is not valid : /wangjy04

# 在当前session中添加认证用户
[zk: localhost:2181(CONNECTED) 102] addauth digest wjy:root
#就能获取到相关的权限了
[zk: localhost:2181(CONNECTED) 107] get /wangjy04
1
cZxid = 0x1c641
ctime = Tue Jul 09 08:59:18 CST 2019
mZxid = 0x1c641
mtime = Tue Jul 09 08:59:18 CST 2019
pZxid = 0x1c641
cversion = 0
dataVersion = 0
aclVersion = 2
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0
2. JavaAPI
 @Before
 public void getClient() {
     /*
      * 重连策略 四种实现
      *  ExponentialBackoffRetry、RetryNTimes、RetryOneTimes、RetryUntilElapsed
      * */
     ACLProvider aclProvider = new ACLProvider() {
         private List<ACL> acl ;
         @Override
         public List<ACL> getDefaultAcl() {
             if(acl ==null){
                 ArrayList<ACL> acl = ZooDefs.Ids.CREATOR_ALL_ACL;
                 acl.clear();
                 acl.add(new ACL(ZooDefs.Perms.ALL, new Id("digest", "admin:123") ));
                 this.acl = acl;
             }
             return acl;
         }
         @Override
         public List<ACL> getAclForPath(String path) {
             return null;
         }
     };
     ExponentialBackoffRetry backoffRetry = new ExponentialBackoffRetry(1000, 1000);

     //curatorFramework = CuratorFrameworkFactory.builder().aclProvider(aclProvider).authorization("digest", "admin:123".getBytes()).connectString("192.168.134.99:2181").retryPolicy(backoffRetry).build();
      curatorFramework = CuratorFrameworkFactory.newClient("192.168.134.99:2181", backoffRetry);
     this.curatorFramework.start();
 }
在车厂摸鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Zookeeper入门之使用curator连接zookeeper并且进行节点的增删改查及ACL
筑梦者
05-17 9979
我使用的是Maven添加的依赖地址如下:                                 org.apache.curator             curator-framework             2.8.0                   CuratorFramework Curator框架提供了一套高级的API, 简化了ZooKee
java acl 框架_java – 使用ACL与策展人
weixin_31077513的博客
02-13 457
Apache Curator中的ACL用于访问控制.因此,ZooKeeper不提供任何身份验证机制,如没有正确密码的客户端无法连接到ZooKeeper或无法创建ZNodes.它可以做的是防止未经授权的客户端访问特定的Znode / ZNodes.为了做到这一点,你必须设置CuratorFramework实例,如下所述.请记住,这样可以保证具有给定ACL的ZNode创建可以由同一客户端或呈现相同身份...
curator之zookeeper分布式锁使用
燕少江湖
10-27 1476
Apache curator是Apache ZooKeeper(分布式协调服务)的Java/JVM客户端库。它包括一些高级API框架和实用程序,让开发人员使用Apache ZooKeeper更加容易和可靠。它还包括常用用例和扩展的方法,如服务发现和Java 8异步DSL。代码有较详细的注释,核心代码就这三行,curator完全封装好了,我们只需要“傻瓜”式的使用,而且curator fluent风格的api,也非常OK。
zookeeper添加访问控制
最新发布
weixin_45460314的博客
04-09 842
zookeeper添加访问控制zookeeper添加访问控制 方法1./zkCli.sh -server 192.168.21.1.111:2181 addauth digest szxy_v6:Zdsoft123com setAcl -R /dubbo auth:szxy_v6:Zdsoft123com:cdrwa方法2 查看当前权限getAcl /添加可访问IPsetAcl / ip:192.168.1.112:cdrwa,ip:192.168.1.113:cdrwa,ip:127.0.0.1:cdr
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4197
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
zookeeper之znode节点与acl权限设置
积跬步,至千里。
06-29 1315
ZooKeeper是一个典型的分布式数据一致性的解决方案,分布式应用程序可以基于它实现诸如数据发布/订阅、负载均衡、命名服务、分布式协调/通知、集群管理、Master 选举、分布式锁和分布式队列等功能
zookeeper配置相应的acl权限
08-29
Zookeeper 权限配置 ACL Zookeeper 是一个高可用的分布式协调服务,可以为分布式应用程序提供配置维护、命名、提供分布式同步和GROUP服务。为了确保 Zookeeper 的安全性和可靠性,需要配置相应的 ACL 权限。本文将...
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
java连接zookeeper,并增加acl权限.docx
07-09
Java 连接 ZooKeeper 并增加 ACL 权限 ZooKeeper 是一个开源的分布式应用程序协调服务,由 Apache 软件基金会提供。它提供了许多功能,如配置管理、名字服务、分布式同步、组服务等。 Java 是一种广泛使用的编程...
zookeeper连接工具
07-05
- **节点(Znode)**: Zookeeper中的数据存储单元,类似于文件系统的文件,具有路径、数据、ACL(访问控制列表)和时间戳。 - **会话(Session)**: 客户端与Zookeeper服务器之间的连接,会话期间客户端可以接收...
zookeeper--ACL详解
qq_41768644的博客
03-28 1579
zookeeper ACL权限详解 addauth 详解
ZooKeeper ACL权限控制
weixin_54051652的博客
03-07 6043
ZooKeeper ACL权限控制
ZooKeeper设置ACL权限控制,删除权限
萌兔兔MMQ!!
11-21 2759
因为zookeeper会默认启动这几个具有world和cdrwa权限的znode,“/” “/zookeeper” “/zookeeper/config"和”/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。好了,到这里,才是真正的解决了这个未授权访问漏洞问题了。
kafka_2.12-2.3.1 自带zookeeper 关闭四字命令 添加Acl IP白名单
weixin_45045261的博客
02-21 2058
通过IP白名单和关闭四字命令方式,修复zookeeper未授权漏洞
ZookeeperACL权限控制
qq_36746807的博客
04-19 596
ZookeeperACL权限控制,可以控制节点的读写操作,保证数据的安全性,Zookeeper ACL权限设置分为3部分组成,分别是:权限模式(Scheme)、授权对象(ID)、权限信息(Permission)。数据节点(r:read)读取权限,授予权限的对象可以读取该节点的内容以及子节点的列表信息;数据节点(a:admin)管理者权限,授予权限的对象可以对该数据节点体进行ACL权限设置。数据节点(d:delete)删除权限,授予权限的对象可以删除该数据节点的子节点;
zookeeperacl权限控制
qq_45421186的博客
02-07 459
一.概述 zookeeper类似文件系统,client可以创建节点、更新节点、删除节点。而节点的权限控制是access control list(访问控制列表)。 二.acl权限控制的内容 1.权限模式(scheme) 采用授权的策略。 2.授权对象(id) 授权的对象。 3.权限(permission) 授予的权限。 三.zookeeper权限控制特性 1.zookeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限。 2.每个znode节点支持设置多种权限控制方案和多个权限 3.子
2.Zookeeper 权限控制 ACL
qq_40402622的博客
11-07 1252
ACL 权限可以针对节点设置相关读写等权限,保障数据安全性。permissions 可以指定不同的权限范围及角色。如果节点密码等忘记,无法连接删除时,可以采用以下两种方法解决。auth 用于授予权限,注意需要先创建用户。zookeeperacl 通过。digest 可用于账号密码登录和验证。world 代表开放式权限。
zookeeperACL
03-22
ZooKeeper提供了一套访问控制列表(ACL)机制,用于对ZooKeeper中的节点进行权限控制。 ACL是一组权限规则,用于限制对节点的访问。每个节点都可以设置自己的ACL,以确定谁可以对其进行读取、写入和管理操作。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值