使用ZooKeeper ACL特性进行znode控制
Zookeeper作为配置管理服务,因为配置数据有很高的安全要求,需要有权限控制,客户端需要进行登录认证才操作(查看数据,修改数据,创建children znode等等)Zookeeper上面对应znode。1. 简单的客户端认证zkCli.sh 命令如下:
ls /tom
Authentication is not valid : /tom
#添加认证之后,即可查看znode /tom
addauth digest tom:tom
ls /tom
[] 2. Zookeeper提供的认证方式
Zookeeper对权限的控制是znode级别的,不继承即对父节点设置权限,其子节点不继承父节点的权限。
world:有个单一的ID,anyone,表示任何人。
auth:不使用任何ID,表示任何通过验证的用户(验证是指创建该znode的权限)。
digest:使用 用户名:密码 字符串生成MD5哈希值作为ACL标识符ID。权限的验证通过直接发送用户名密码字符串的方式完成,
ip:使用客户端主机ip地址作为一个ACL标识符,ACL表达式是以 addr/bits 这种格式表示的。ZK服务器会将addr的前bits位与客户端地址的前bits位来进行匹配验证权限。
3. auth认证方式
Perm:ALL, Id:("auth","") 即创建者拥有访问权限。
/auth的数据是“auth”, auth认证方式,读写权限。
create /auth auth auth::rw
Created /auth 查看/auth的访问控制列表可以看出需要通过digest模式用户名密码是tom/tom认证才可以访问,不对id做限制。
getAcl /auth
'digest,'tom:GcSMsIa2MmdW+zdSJKAv8gcnrpI=
: rw 成功的认证:
ls /auth
Authentication is not valid : /auth
addauth digest tom:tom
ls /auth
[] 失败的认证:
addauth digest supper:admin
ls /auth
Authentication is not valid : /aut 4.通过zkCli.sh 创建znode,并设置ACL
4.1 创建设置ACL的znode
图1 - 用户/密码super/admin创建/supper:
http://s3.运维网.com/wyfs02/M00/71/9B/wKiom1XUQebS6dP3AABboEhkzjQ610.jpg
图2-用户/密码tom/tom创建/tom:
http://s3.运维网.com/wyfs02/M01/71/97/wKioL1XUQ_PyHV37AABWr1IgZxE562.jpg
图3-查看/supper和/tom的ACL:
http://s3.运维网.com/wyfs02/M01/71/9B/wKiom1XUQebxVoT-AACXNGAfKTg521.jpg
4.2 使用如下代码来生成用户名和密码的摘要:
java -cp $ZK_CLASSPATH \
org.apache.zookeeper.server.auth.DigestAuthenticationProvider amy:secret
....
amy:secret->amy:Iq0onHjzb4KyxPAp8YWOIC8zzwY=
注:在启动Zookeeper服务是指定
-Dzookeeper.DigestAuthenticationProvider.superDigest=super:
页:
[1]