ZooKeeperのシリーズ(5) - ACLのアクセス制御

その他 2019-08-17 20:37:17 訪問数: null

I.はじめに

他のプログラム飼育係ヒューマンエラーに格納されたまたは修飾されているデータを回避するために、アクセス制御のために飼育係ACL(アクセス制御リスト)を得ました。適切な権限を持つユーザーのみが、このようなCRUDノードなどの操作を行うことができます。以下は、ネイティブコマンドとApacheキュレーターシェルクライアントのアクセス許可を使用して導入されました。

第二に、使用シェル権管理

2.1の設定と表示の権限

あなたがアクセス権(ACL)は、次の2つのオプションのコマンドを設定したいノード:

 # 1.给已有节点赋予权限
 setAcl path acl
 
 # 2.在创建节点时候指定权限
 create [-s] [-e] path data acl

次のように注文する指定されたノードの権限を確認します。

getAcl path

2.2権限組成

[ID:スキーム権限]で飼育係許可以下のようにスキームおよび権限オプションを構築することができる3つの部分のは、次のとおり

アクセス権のオプション

  • CREATE:あなたは子ノードを作成することができます。
  • 読む:リストされているノードからのデータとその子ノードを取得することができ、
  • WRITEは:データノードを設定することができ。
  • DELETE:あなたは子ノードを削除することができます。
  • ADMIN:ノードセットの許可が可能になります。

スキームオプション

  • 世界:デフォルトモードでは、すべてのクライアントは指定されたアクセス権を持っています。次の世界唯一のidオプションは通常、組み合わせとして記述され、誰にありますworld:anyone:[permissons]
  • 認証:認証されたユーザーのみが唯一の指定されたアクセス権を持っています。通常の組み合わせとして書かれauth:user:password:[permissons]、このモードを使用するとき、あなたはアクセス権を設定した後認証モードを使用してログインする必要があり、userかつpasswordログインユーザ名とパスワードを使用します。
  • ダイジェスト:認証されたユーザーのみが唯一の指定されたアクセス権を持っています。通常、組み合わせとして記述されauth:user:BASE64(SHA1(password)):[permissons]、このフォームでパスワードが暗号化された二重のSHA1とBASE64でなければなりません。
  • IP:リミットのみ、特定のIPクライアントは、指定されたアクセス権を持っています。通常は書面でされる構成されip:182.168.0.168:[permissions]
  • スーパー:スーパー管理者に代わって、すべての権限は、起動スクリプト飼育係の設定を変更する必要があります。

2.3認証情報を追加します

登録操作と同等のユーザ認証情報を追加するために、現在のセッションのコマンドのために次のように使用することができます。

# 格式
addauth scheme auth 

#示例:添加用户名为heibai,密码为root的用户认证信息
addauth digest heibai:root

2.4権限の例

1.ワールドモード

世界はあなたが権限を指定しない場合、作成されるデフォルト・モード、デフォルトのアクセス許可その世界です。

[zk: localhost:2181(CONNECTED) 32] create /hadoop 123
Created /hadoop
[zk: localhost:2181(CONNECTED) 33] getAcl /hadoop
'world,'anyone    #默认的权限
: cdrwa
[zk: localhost:2181(CONNECTED) 34] setAcl /hadoop world:anyone:cwda   # 修改节点,不允许所有客户端读
....
[zk: localhost:2181(CONNECTED) 35] get /hadoop
Authentication is not valid : /hadoop     # 权限不足

2.認証モード

[zk: localhost:2181(CONNECTED) 36] addauth digest heibai:heibai  # 登录
[zk: localhost:2181(CONNECTED) 37] setAcl /hadoop auth::cdrwa    # 设置权限
[zk: localhost:2181(CONNECTED) 38] getAcl /hadoop                # 获取权限
'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=   #用户名和密码 (密码经过加密处理),注意返回的权限类型是 digest
: cdrwa

#用户名和密码都是使用登录的用户名和密码,即使你在创建权限时候进行指定也是无效的
[zk: localhost:2181(CONNECTED) 39] setAcl /hadoop auth:root:root:cdrwa    #指定用户名和密码为 root
[zk: localhost:2181(CONNECTED) 40] getAcl /hadoop
'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=  #无效,使用的用户名和密码依然还是 heibai
: cdrwa

3.モードをダイジェスト

[zk:44] create /spark "spark" digest:heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=:cdrwa  #指定用户名和加密后的密码
[zk:45] getAcl /spark  #获取权限
'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=   # 返回的权限类型是 digest
: cdrwa

ここでは、見つけるために使用できるauthパターンは権限および使用方法の設定digest、最終的な結果にパーミッションモードを、取得した許可モードがありますdigestある程度までは、あなたができるauthように、パターン理解digestの実装のシンプルモード。のでdigestモード、あなたはもっと面倒であるユーザー名とパスワードを毎回の暗号化設定を記述する必要がある、の使用authモデルは、トラブルのこの種のを避けることができます。

4. IPモード

のみ、特定のIPへのアクセスが制限され。

[zk: localhost:2181(CONNECTED) 46] create  /hive "hive" ip:192.168.0.108:cdrwa  
[zk: localhost:2181(CONNECTED) 47] get /hive
Authentication is not valid : /hive  # 当前主机已经不能访问

ここでは、現在のホストがアクセスすることはできません見ることができ、あなたは、対応するIPクライアントを使用するか、または以下の導入に使用することができ、再びアクセスできるようにしたいsuperモードを。

5.スーパーモード

起動スクリプトを変更する必要があるzkServer.shと指定された場所にスーパー管理者アカウントとパスワードの情報を追加します。

"-Dzookeeper.DigestAuthenticationProvider.superDigest=heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s="

編集が必要とされた後zkServer.sh restart、再びサービスを、この時間制限IPのアクセス・ノードを再起動します:

[zk: localhost:2181(CONNECTED) 0] get /hive  #访问受限
Authentication is not valid : /hive
[zk: localhost:2181(CONNECTED) 1] addauth digest heibai:heibai  # 登录 (添加认证信息)
[zk: localhost:2181(CONNECTED) 2] get /hive  #成功访问
hive
cZxid = 0x158
ctime = Sat May 25 09:11:29 CST 2019
mZxid = 0x158
mtime = Sat May 25 09:11:29 CST 2019
pZxid = 0x158
cversion = 0
dataVersion = 0
aclVersion = 0
ephemeralOwner = 0x0
dataLength = 4
numChildren = 0

第三に、使用するJavaクライアントの著作権管理

3.1は異なり

Apacheのキュレーターが、ここでは、たとえば、あなたが使用する前に、依存をインポートする必要があり、完全な依存性は、次のとおりです。

<dependencies>
    <!--Apache Curator 相关依赖-->
    <dependency>
        <groupId>org.apache.curator</groupId>
        <artifactId>curator-framework</artifactId>
        <version>4.0.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.curator</groupId>
        <artifactId>curator-recipes</artifactId>
        <version>4.0.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.zookeeper</groupId>
        <artifactId>zookeeper</artifactId>
        <version>3.4.13</version>
    </dependency>
    <!--单元测试相关依赖-->
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.12</version>
    </dependency>
</dependencies>

3.2著作権管理API

例Apacheのキュレーターのアクセス許可の設定を次のように

public class AclOperation {

    private CuratorFramework client = null;
    private static final String zkServerPath = "192.168.0.226:2181";
    private static final String nodePath = "/hadoop/hdfs";

    @Before
    public void prepare() {
        RetryPolicy retryPolicy = new RetryNTimes(3, 5000);
        client = CuratorFrameworkFactory.builder()
                .authorization("digest", "heibai:123456".getBytes()) //等价于 addauth 命令
                .connectString(zkServerPath)
                .sessionTimeoutMs(10000).retryPolicy(retryPolicy)
                .namespace("workspace").build();
        client.start();
    }

    /**
     * 新建节点并赋予权限
     */
    @Test
    public void createNodesWithAcl() throws Exception {
        List<ACL> aclList = new ArrayList<>();
        // 对密码进行加密
        String digest1 = DigestAuthenticationProvider.generateDigest("heibai:123456");
        String digest2 = DigestAuthenticationProvider.generateDigest("ying:123456");
        Id user01 = new Id("digest", digest1);
        Id user02 = new Id("digest", digest2);
        // 指定所有权限
        aclList.add(new ACL(Perms.ALL, user01));
        // 如果想要指定权限的组合,中间需要使用 | ,这里的|代表的是位运算中的 按位或
        aclList.add(new ACL(Perms.DELETE | Perms.CREATE, user02));

        // 创建节点
        byte[] data = "abc".getBytes();
        client.create().creatingParentsIfNeeded()
                .withMode(CreateMode.PERSISTENT)
                .withACL(aclList, true)
                .forPath(nodePath, data);
    }


    /**
     * 给已有节点设置权限,注意这会删除所有原来节点上已有的权限设置
     */
    @Test
    public void SetAcl() throws Exception {
        String digest = DigestAuthenticationProvider.generateDigest("admin:admin");
        Id user = new Id("digest", digest);
        client.setACL()
                .withACL(Collections.singletonList(new ACL(Perms.READ | Perms.DELETE, user)))
                .forPath(nodePath);
    }

    /**
     * 获取权限
     */
    @Test
    public void getAcl() throws Exception {
        List<ACL> aclList = client.getACL().forPath(nodePath);
        ACL acl = aclList.get(0);
        System.out.println(acl.getId().getId() 
                           + "是否有删读权限:" + (acl.getPerms() == (Perms.READ | Perms.DELETE)));
    }

    @After
    public void destroy() {
        if (client != null) {
            client.close();
        }
    }
}

https://github.com/heibaiying/BigData-Notes/tree/master/code/Zookeeper/curator:この倉庫の完全なソースコードを参照してください。

もっと大きなデータ系列は、GitHubのオープンソースプロジェクトを見つけることができますビッグデータははじめに

おすすめ

転載: www.cnblogs.com/heibaiying/p/11368340.html
おすすめ
Open Source Daily | Chrome に組み込まれている Gemini の重要性は、中国の AI 追求に関する 5 つの大きな誤解ではありません。ECharts の創設者は魚を育てるために「海に行った」が、何もありません。驚き
中国のAIチームが「米国のために準備を進めている」という噂にマイクロソフトが反応
ランキング
配列内の重複要素を検索し、繰り返し回数の最小値から最大値までの順に並べ替えます es6
【C++学習記】Ten、C++デザインパターン - 抽象ファクトリーパターン
知人:素人の言語ランタイム(A)に
ist „collision.relativeVelocity.magnitude“ in Unity
Linuxダイナミックリンク(3)のPLTとGOTについて話す-パブリックGOTエントリ
leetcode。図L.207カリキュラム-Java
羅区[] P3518 [POI2011] SEJ、金庫
MySQL にクエリを実行するときに使用するインデックスを指定します
現在のユーザー環境変数とシステムのWin10ベースのビュー
十二の仕事 - あなたの誕生日
アーカイブ
もっと
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)

コードワールド

© 2018 codetd.com