Zookeeper ACL

最新推荐文章于 2022-10-26 20:58:46 发布
最新推荐文章于 2022-10-26 20:58:46 发布
阅读量120 收藏
点赞数
分类专栏: # zookeeper 文章标签: zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45316851/article/details/107076954
版权

Zookeeper ACL

7.1 Shell 操作

zookeeper本身提供了ACL机制,表示为scheme: id:permissions,第一个字段表示采用哪一种机制,第二个id表示用户,permissions表示相关权限(如只读,读写,管理等)。

7.1 .1 scheme :id 介绍

  • world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
  • auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication),使用auth来设置权限的时候,需要在zk里注册一个用户才可以
  • digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication
  • ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
  • super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)

7.1 .2 permissions

权限ACL简写描述
CREATEc可以创建子节点
DELETEd可以删除子节点(仅下一级节点)
READr可以读取节点数据及显示子节点列表
WRITEw可以设置节点数据
ADMINa可以设置节点访问控制列表权限

7.1.3 ACL Shell 命令

命令使用方式描述
getAclgetAcl 读取ACL权限
setAclsetAcl 设置ACL权限
addauthaddauth 添加认证用户

7.1.4 操作

World scheme

其实默认就是Word Scheme

语法
setAcl <path> world:anyone:<acl>

#随便创建一个节点
[zk: localhost:2181(CONNECTED) 61] create /ba 1
Created /baizhiedu
[zk: localhost:2181(CONNECTED) 62] getAcl /ba
'world,'anyone
: cdrwa

#在创建完成后相关节点,还可以通过setAcl的方式设置相关权限
[zk: localhost:2181(CONNECTED) 64] setAcl的方式设置相关权限 /ba world:anyone:cdrw
cZxid = 0x1c631
ctime = Tue Jul 09 08:37:06 CST 2019
mZxid = 0x1c631
mtime = Tue Jul 09 08:37:06 CST 2019
pZxid = 0x1c631
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0
[zk: localhost:2181(CONNECTED) 67] getAcl /ba
'world,'anyone
: cdrw
IP scheme

对于特定IP适用,其他没有设置过的IP没有相关权限

语法
setAcl <path> ip:<ip>:<acl>

[zk: localhost:2181(CONNECTED) 73] setAcl /ba ip:192.168.123.111:cdrwa
cZxid = 0x1c635
ctime = Tue Jul 09 08:44:14 CST 2019
mZxid = 0x1c635
mtime = Tue Jul 09 08:44:14 CST 2019
pZxid = 0x1c635
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0


[zk: localhost:2181(CONNECTED) 78] getAcl /ba
'ip,'192.168.123.111
: cdrwa

[zk: localhost:2181(CONNECTED) 79] get /ba
Authentication is not valid : /ba
Auth scheme
语法
addauth digest <user>:<password> #添加认证用户
setAcl <path> auth:<user>:<acl>

[zk: localhost:2181(CONNECTED) 81] addauth digest gjf:root
[zk: localhost:2181(CONNECTED) 82] setAcl /baizhi03  auth:gjf:root
cZxid = 0x1c637
ctime = Tue Jul 09 08:47:00 CST 2019
mZxid = 0x1c637
mtime = Tue Jul 09 08:47:00 CST 2019
pZxid = 0x1c637
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 95] getAcl /ba03
'digest,'gjf:bbYGkKPfBgiZDzcwrmVylqDlXnI=
: cdrwa
Digest scheme
语法
setAcl <path> digest:<user>:<password>:<acl>
计算密文
echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64

[root@GuoJiafeng01 ~]# echo -n gjf:root | openssl dgst -binary -sha1 | openssl base64
bbYGkKPfBgiZDzcwrmVylqDlXnI=


[zk: localhost:2181(CONNECTED) 98] create /ba04 1
Created /ba04
[zk: localhost:2181(CONNECTED) 99] setAcl /ba04 digest:gjf:bbYGkKPfBgiZDzcwrmVylqDlXnI=:a
cZxid = 0x1c641
ctime = Tue Jul 09 08:59:18 CST 2019
mZxid = 0x1c641
mtime = Tue Jul 09 08:59:18 CST 2019
pZxid = 0x1c641
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0
[zk: localhost:2181(CONNECTED) 100] getAcl /ba04
'digest,'gjf:bbYGkKPfBgiZDzcwrmVylqDlXnI=
: a

# 当前是没有权限的
[zk: localhost:2181(CONNECTED) 101] get /ba04
Authentication is not valid : /ba04

# 在当前session中添加认证用户
[zk: localhost:2181(CONNECTED) 102] addauth digest gjf:root
#就能获取到相关的权限了
[zk: localhost:2181(CONNECTED) 107] get /ba04
1
cZxid = 0x1c641
ctime = Tue Jul 09 08:59:18 CST 2019
mZxid = 0x1c641
mtime = Tue Jul 09 08:59:18 CST 2019
pZxid = 0x1c641
cversion = 0
dataVersion = 0
aclVersion = 2
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

7.2 Java API

 @Before
    public void getClient() {

        /*
         * 重连策略 四种实现
         *  ExponentialBackoffRetry、RetryNTimes、RetryOneTimes、RetryUntilElapsed
         * */

        ACLProvider aclProvider = new ACLProvider() {
            private List<ACL> acl ;
            @Override
            public List<ACL> getDefaultAcl() {
                if(acl ==null){
                    ArrayList<ACL> acl = ZooDefs.Ids.CREATOR_ALL_ACL;
                    acl.clear();
                    acl.add(new ACL(ZooDefs.Perms.ALL, new Id("digest", "admin:123") ));
                    this.acl = acl;
                }
                return acl;
            }

            @Override
            public List<ACL> getAclForPath(String path) {
                return null;
            }
        };

        ExponentialBackoffRetry backoffRetry = new ExponentialBackoffRetry(1000, 1000);

        //curatorFramework = CuratorFrameworkFactory.builder().aclProvider(aclProvider).authorization("digest", "admin:123".getBytes()).connectString("192.168.134.99:2181").retryPolicy(backoffRetry).build();
         curatorFramework = CuratorFrameworkFactory.newClient("192.168.134.99:2181", backoffRetry);

        this.curatorFramework.start();


    }
人间小鲸鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ZookeeperACL控制
Xlucas的博客
11-22 857
Access Control在分布式系统中重要性是毋庸置疑的,今天这篇文章来介绍一下Zookeeper中的Access Control(ACL)。1. 概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。ZookeeperACL,可以从三个维度来理解:一是scheme;
分布式协调服务Zookeeper集群之ACL
weixin_33721344的博客
04-23 336
              分布式协调服务Zookeeper集群之ACL篇                                            作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。 一.zookeeper ACL相关知识概览 1>.zookeeper官方文档(http://zookeeper.apache.org/...
ZooKeeper系列(五)—— ACL权限控制
黑白影的博客
06-07 759
一、前言 为了避免存储在Zookeeper上的数据被其他程序或者人为误修改,Zookeeper提供了ACL(Access Control Lists)进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的Shell命令和Apache Curator客户端进行权限设置。 二、使用Shell进行权限管理 2.1 设置与查看权限 想要给某个节点设置权限(ACL),有以...
Zookeeper权限控制ACL详解
qq_40837310的博客
06-18 4072
概述 Zookeeper类似于unix文件系统,节点类比文件,客户端可以删除节点,创建节点,修改节点。Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制。 acl权限控制使用:scheme????permission来标志,主要涵盖三个方面: 权限模式(scheme):授权的策略。 权限对象(id):授权的对象。 权限(permission):授予的权限。 Zookeeper acl的特性: Zookeeper的权限控制是基于znode节点的,
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4310
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
zookeeper配置相应的acl权限
08-29
Zookeeper 权限配置 ACL Zookeeper 是一个高可用的分布式协调服务,可以为分布式应用程序提供配置维护、命名、提供分布式同步和GROUP服务。为了确保 Zookeeper 的安全性和可靠性,需要配置相应的 ACL 权限。本文将...
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
java连接zookeeper,并增加acl权限.docx
07-09
Java 连接 ZooKeeper 并增加 ACL 权限 ZooKeeper 是一个开源的分布式应用程序协调服务,由 Apache 软件基金会提供。它提供了许多功能,如配置管理、名字服务、分布式同步、组服务等。 Java 是一种广泛使用的编程...
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
zookeeper 3.8.4
最新发布
05-17
- **安全增强**:支持 SASL 认证和 ACL 策略,提升了系统的安全性。 - **监控与日志**:提供了更详细的监控指标和日志记录,便于诊断和调试。 - **API 更新**:优化了 Java 和 C API,增强了易用性和兼容性。 ###...
Zookeeper(七)ACL
weixin_44671233的博客
07-03 168
1. Shell 操作 zookeeper本身提供了ACL机制,表示为scheme: id:permissions,第一个字段表示采用哪一种机制,第二个id表示用户,permissions表示相关权限(如只读,读写,管理等)。 (1)scheme :id 介绍 world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的 auth: 它不需要id, 只要是通过authentication的user都
Zookeeper Version、Watcher 和 ACL
happyJared
10-28 449
Version 前面提到,Zookeeper 的每个 ZNode 上都会存储数据,对应于每个 ZNode,Zookeeper 都会为其维护一个叫作 Stat 的数据结构,在 Stat 中,记录了这个 ZNode 的三个数据版本,分别是 version(当前 ZNode 的版本)、cversion(当前 ZNode 子节点的版本)和 aversion(当前 ZNode 的 ACL 版...
zookeeperACL权限控制
breakout_alex的博客
11-10 631
ACL:Access Control List访问控制列表 1. 简介 0.概述 ACL 权限控制,使用:scheme:id:perm来标识,主要涵盖 3 个方面:   权限模式(Scheme):授权的策略   授权对象(ID):授权的对象   权限(Permission):授予的权限 其特性如下:   ZooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限   每个znode支持设置多种权限控制方案和多个权限   子节点不会继承父节点的权限,客户端无权访问某节点,但...
Zookeeper学习笔记(一)——Zookeeper的基本功能
飞!!!的博客
04-06 4345
Zookeeper学习笔记
zookeeper节点类型、常用命令及ACL管理权限
mg1123的博客
10-26 1115
zk节点和节点类型节点类型:1、PERSISTENT--持久化目录节点客户端与zookeeper断开连接后,该节点依旧存在2、PERSISTENT_SEQUENTIAL-持久化顺序编号目录节点客户端与zookeeper断开连接后,该节点依旧存在,只是Zookeeper给该节点名称进行顺序编号3、EPHEMERAL-临时目录节点客户端与zookeeper断开连接后,该节点被删除,临时节点不可以创建子节点4、EPHEMERAL_SEQUENTIAL-临时顺序编号目录节点。
ZooKeeper ACL权限控制
热门推荐
赶路人儿
02-27 1万+
ZK 类似文件系统,Client 可以在上面创建节点、更新节点、删除节点等如何做到权限的控制?查阅文档,zk的ack(Access Control List)能够保证权限,但是调研完后发现它不是很好用。 ACL 权限控制,使用:schema:id:permission 来标识,主要涵盖 3 个方面: 权限模式(Schema):鉴权的策略授权对象(ID)权限(Permission) 其
ZooKeeper的权限控制--ACL
qq_42697271的博客
07-01 918
ZooKeeper的权限控制--ACL
zookeeper 四 : ACL 权限控制
Duan的博客
07-13 1036
权限控制 ACL:Access Control List,访问控制列表,是前几年盛行的一种权限设计,它的核心在于用户直接和权限挂钩。 RBAC:Role Based Access Control ,翻译过来基本上就是基于角色的访问控制系统。 RBAC的核心是用户只和角色关联,而角色代表对了权限,这样设计的优势在于使得对用户而言,只需角色即可以,而某角色可以拥有各种各样的权限并可继承。ACL和...
ZooKeeper使用ACL进行访问控制
宁静致远
11-21 4678
ZooKeeper使用ACL控制节点的访问,ACL的实现类似于UNIX文件的访问许可:使用位来控制节点访问的作用域和访问许可。但不同于UNIX文件系统,对于标准的作用域,包括user(文件的拥有者),group和world(其它),ZooKeeper节点没有限制。Zookeeper没有znode的拥有者的概念,取而代之,ACL指定一套id和对应这些id的许可。 注意一个ACL仅和一个特定的znod
zookeeper ACL
08-17
ZookeeperACL是Access Control List的缩写,用于对节点的权限进行控制。类似于Unix文件系统,Zookeeper的节点可以看作是文件,客户端可以删除、创建和修改节点。ACL可以用来管理节点的访问权限。 取消ACL相关权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值