Zookeeper的ACL权限控制

企业开发 2018-05-04 02:13:23 阅读次数: 2

权限测试

创建目录

[zk: localhost:2181(CONNECTED) 1] create /dlw "dlw"
Created /dlw

检查目录权限

[zk: localhost:2181(CONNECTED) 3] getAcl /dlw
'world,'anyone
: cdrwa

修改目录ACL权限,表示为/dlw目录添加accumulo用户,密码的MD5哈希码为SkvnZlrIQ19GNd7eLDXGKg0Esgw=,r表示只读

[zk: localhost:2181(CONNECTED) 5] setAcl /dlw digest:accumulo:SkvnZlrIQ19GNd7eLDXGKg0Esgw=:r
cZxid = 0x30000003f
ctime = Mon Feb 05 16:47:14 CHOT 2018
mZxid = 0x30000003f
mtime = Mon Feb 05 16:47:14 CHOT 2018
pZxid = 0x30000003f
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 5
numChildren = 0

再检查目录权限

[zk: localhost:2181(CONNECTED) 6] getAcl /dlw
'digest,'accumulo:SkvnZlrIQ19GNd7eLDXGKg0Esgw=
: r

发现此时该目录已经因为权限不足无法访问

[zk: localhost:2181(CONNECTED) 7] ls /dlw
Authentication is not valid : /dlw

突然发现虽然知道accumulo用户密码的MD5值,但是并不知道密码是多少,然后对/dlw目录就无法访问了

这时可以使用zookeeper的acl超级管理员进行操作

Zookeeper的ACL超级管理员

修改zookeeper的启动脚本

$ cd $ZOOKEEPER_HOME/bin
$ vi zkServer.sh

添加一行

SUPER_ACL="-Dzookeeper.DigestAuthenticationProvider.superDigest=super:xQJmxLMiHGwaqBvst5y6rkB6HQs="
super:xQJmxLMiHGwaqBvst5y6rkB6HQs=表示super:admin

修改启动命令,找到nohup,把SUPER_ACL添加到启动命令中

nohup $JAVA $ZOO_DATADIR_AUTOCREATE "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" \
    "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" "${SUPER_ACL}" \
    -cp "$CLASSPATH" $JVMFLAGS $ZOOMAIN "$ZOOCFG" > "$_ZOO_DAEMON_OUT" 2>&1 < /dev/null &

分发zkServer.sh到其它zookeeper节点,重启zookeeper服务

再登录zkCli.sh,连接超级管理员super,就可以对/dlw进行操作

[zk: localhost:2181(CONNECTED) 14] addauth digest super:admin
[zk: localhost:2181(CONNECTED) 15] ls /dlw
[]

把/dlw目录的Acl修改为初始默认的

[zk: localhost:2181(CONNECTED) 23] setAcl /dlw world:anyone:crwda
cZxid = 0x30000003f
ctime = Mon Feb 05 16:47:14 CHOT 2018
mZxid = 0x30000003f
mtime = Mon Feb 05 16:47:14 CHOT 2018
pZxid = 0x30000003f
cversion = 0
dataVersion = 0
aclVersion = 2
ephemeralOwner = 0x0
dataLength = 5
numChildren = 0
[zk: localhost:2181(CONNECTED) 24] getAcl /dlw
'world,'anyone
: cdrwa

Zookeeper的认证方式

digest:Client端由用户名和密码验证,譬如user:password,digest的密码生成方式是Sha1摘要的base64形式

auth:不使用任何id,代表任何已确认用户。

ip:Client端由IP地址验证,譬如172.2.0.0/24

world:固定用户为anyone,为所有Client端开放权限

super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)

节点的权限(perms)主要有以下几种:

Create 允许对子节点Create操作

Read 允许对本节点GetChildren和GetData操作

Write 允许对本节点SetData操作

Delete 允许对子节点Delete操作

Admin 允许对本节点setAcl操作

ACL权限设置时分别用cdrwa简写表示

猜你喜欢

转载自my.oschina.net/xiaozhublog/blog/1618691
今日推荐
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
周排行
curl的POST请求,封装方法
8.1.1. Integer Types
Java基础 Day05(个人复习整理)
Python - Django - 中间件 process_exception
小L的试卷
【Shell编程】 (函数)判断用户是否存在
python(css样式)
spring ant path 匹配原则 - 【笔记】
《JavaScript与JScript从入门到精通》(美)James.Jaworski.中译本.扫描版.pdf
Eclipse运行带参数的java程序
每日归档
更多
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022