I.はじめに
他のプログラム飼育係ヒューマンエラーに格納されたまたは修飾されているデータを回避するために、アクセス制御のために飼育係ACL(アクセス制御リスト)を得ました。適切な権限を持つユーザーのみが、このようなCRUDノードなどの操作を行うことができます。以下は、ネイティブコマンドとApacheキュレーターシェルクライアントのアクセス許可を使用して導入されました。
第二に、使用シェル権管理
2.1の設定と表示の権限
あなたがアクセス権(ACL)は、次の2つのオプションのコマンドを設定したいノード:
# 1.给已有节点赋予权限
setAcl path acl
# 2.在创建节点时候指定权限
create [-s] [-e] path data acl
次のように注文する指定されたノードの権限を確認します。
getAcl path
2.2権限組成
[ID:スキーム権限]で飼育係許可以下のようにスキームおよび権限オプションを構築することができる3つの部分のは、次のとおり
アクセス権のオプション:
- CREATE:あなたは子ノードを作成することができます。
- 読む:リストされているノードからのデータとその子ノードを取得することができ、
- WRITEは:データノードを設定することができ。
- DELETE:あなたは子ノードを削除することができます。
- ADMIN:ノードセットの許可が可能になります。
スキームオプション:
- 世界:デフォルトモードでは、すべてのクライアントは指定されたアクセス権を持っています。次の世界唯一のidオプションは通常、組み合わせとして記述され、誰にあります
world:anyone:[permissons]
。 - 認証:認証されたユーザーのみが唯一の指定されたアクセス権を持っています。通常の組み合わせとして書かれ
auth:user:password:[permissons]
、このモードを使用するとき、あなたはアクセス権を設定した後認証モードを使用してログインする必要があり、user
かつpassword
ログインユーザ名とパスワードを使用します。 - ダイジェスト:認証されたユーザーのみが唯一の指定されたアクセス権を持っています。通常、組み合わせとして記述され
auth:user:BASE64(SHA1(password)):[permissons]
、このフォームでパスワードが暗号化された二重のSHA1とBASE64でなければなりません。 - IP:リミットのみ、特定のIPクライアントは、指定されたアクセス権を持っています。通常は書面でされる構成され
ip:182.168.0.168:[permissions]
、 - スーパー:スーパー管理者に代わって、すべての権限は、起動スクリプト飼育係の設定を変更する必要があります。
2.3認証情報を追加します
登録操作と同等のユーザ認証情報を追加するために、現在のセッションのコマンドのために次のように使用することができます。
# 格式
addauth scheme auth
#示例:添加用户名为heibai,密码为root的用户认证信息
addauth digest heibai:root
2.4権限の例
1.ワールドモード
世界はあなたが権限を指定しない場合、作成されるデフォルト・モード、デフォルトのアクセス許可その世界です。
[zk: localhost:2181(CONNECTED) 32] create /hadoop 123
Created /hadoop
[zk: localhost:2181(CONNECTED) 33] getAcl /hadoop
'world,'anyone #默认的权限
: cdrwa
[zk: localhost:2181(CONNECTED) 34] setAcl /hadoop world:anyone:cwda # 修改节点,不允许所有客户端读
....
[zk: localhost:2181(CONNECTED) 35] get /hadoop
Authentication is not valid : /hadoop # 权限不足
2.認証モード
[zk: localhost:2181(CONNECTED) 36] addauth digest heibai:heibai # 登录
[zk: localhost:2181(CONNECTED) 37] setAcl /hadoop auth::cdrwa # 设置权限
[zk: localhost:2181(CONNECTED) 38] getAcl /hadoop # 获取权限
'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= #用户名和密码 (密码经过加密处理),注意返回的权限类型是 digest
: cdrwa
#用户名和密码都是使用登录的用户名和密码,即使你在创建权限时候进行指定也是无效的
[zk: localhost:2181(CONNECTED) 39] setAcl /hadoop auth:root:root:cdrwa #指定用户名和密码为 root
[zk: localhost:2181(CONNECTED) 40] getAcl /hadoop
'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= #无效,使用的用户名和密码依然还是 heibai
: cdrwa
3.モードをダイジェスト
[zk:44] create /spark "spark" digest:heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=:cdrwa #指定用户名和加密后的密码
[zk:45] getAcl /spark #获取权限
'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= # 返回的权限类型是 digest
: cdrwa
ここでは、見つけるために使用できるauth
パターンは権限および使用方法の設定digest
、最終的な結果にパーミッションモードを、取得した許可モードがありますdigest
。ある程度までは、あなたができるauth
ように、パターン理解digest
の実装のシンプルモード。のでdigest
モード、あなたはもっと面倒であるユーザー名とパスワードを毎回の暗号化設定を記述する必要がある、の使用auth
モデルは、トラブルのこの種のを避けることができます。
4. IPモード
のみ、特定のIPへのアクセスが制限され。
[zk: localhost:2181(CONNECTED) 46] create /hive "hive" ip:192.168.0.108:cdrwa
[zk: localhost:2181(CONNECTED) 47] get /hive
Authentication is not valid : /hive # 当前主机已经不能访问
ここでは、現在のホストがアクセスすることはできません見ることができ、あなたは、対応するIPクライアントを使用するか、または以下の導入に使用することができ、再びアクセスできるようにしたいsuper
モードを。
5.スーパーモード
起動スクリプトを変更する必要があるzkServer.sh
と指定された場所にスーパー管理者アカウントとパスワードの情報を追加します。
"-Dzookeeper.DigestAuthenticationProvider.superDigest=heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s="
編集が必要とされた後zkServer.sh restart
、再びサービスを、この時間制限IPのアクセス・ノードを再起動します:
[zk: localhost:2181(CONNECTED) 0] get /hive #访问受限
Authentication is not valid : /hive
[zk: localhost:2181(CONNECTED) 1] addauth digest heibai:heibai # 登录 (添加认证信息)
[zk: localhost:2181(CONNECTED) 2] get /hive #成功访问
hive
cZxid = 0x158
ctime = Sat May 25 09:11:29 CST 2019
mZxid = 0x158
mtime = Sat May 25 09:11:29 CST 2019
pZxid = 0x158
cversion = 0
dataVersion = 0
aclVersion = 0
ephemeralOwner = 0x0
dataLength = 4
numChildren = 0
第三に、使用するJavaクライアントの著作権管理
3.1は異なり
Apacheのキュレーターが、ここでは、たとえば、あなたが使用する前に、依存をインポートする必要があり、完全な依存性は、次のとおりです。
<dependencies>
<!--Apache Curator 相关依赖-->
<dependency>
<groupId>org.apache.curator</groupId>
<artifactId>curator-framework</artifactId>
<version>4.0.0</version>
</dependency>
<dependency>
<groupId>org.apache.curator</groupId>
<artifactId>curator-recipes</artifactId>
<version>4.0.0</version>
</dependency>
<dependency>
<groupId>org.apache.zookeeper</groupId>
<artifactId>zookeeper</artifactId>
<version>3.4.13</version>
</dependency>
<!--单元测试相关依赖-->
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
</dependency>
</dependencies>
3.2著作権管理API
例Apacheのキュレーターのアクセス許可の設定を次のように
public class AclOperation {
private CuratorFramework client = null;
private static final String zkServerPath = "192.168.0.226:2181";
private static final String nodePath = "/hadoop/hdfs";
@Before
public void prepare() {
RetryPolicy retryPolicy = new RetryNTimes(3, 5000);
client = CuratorFrameworkFactory.builder()
.authorization("digest", "heibai:123456".getBytes()) //等价于 addauth 命令
.connectString(zkServerPath)
.sessionTimeoutMs(10000).retryPolicy(retryPolicy)
.namespace("workspace").build();
client.start();
}
/**
* 新建节点并赋予权限
*/
@Test
public void createNodesWithAcl() throws Exception {
List<ACL> aclList = new ArrayList<>();
// 对密码进行加密
String digest1 = DigestAuthenticationProvider.generateDigest("heibai:123456");
String digest2 = DigestAuthenticationProvider.generateDigest("ying:123456");
Id user01 = new Id("digest", digest1);
Id user02 = new Id("digest", digest2);
// 指定所有权限
aclList.add(new ACL(Perms.ALL, user01));
// 如果想要指定权限的组合,中间需要使用 | ,这里的|代表的是位运算中的 按位或
aclList.add(new ACL(Perms.DELETE | Perms.CREATE, user02));
// 创建节点
byte[] data = "abc".getBytes();
client.create().creatingParentsIfNeeded()
.withMode(CreateMode.PERSISTENT)
.withACL(aclList, true)
.forPath(nodePath, data);
}
/**
* 给已有节点设置权限,注意这会删除所有原来节点上已有的权限设置
*/
@Test
public void SetAcl() throws Exception {
String digest = DigestAuthenticationProvider.generateDigest("admin:admin");
Id user = new Id("digest", digest);
client.setACL()
.withACL(Collections.singletonList(new ACL(Perms.READ | Perms.DELETE, user)))
.forPath(nodePath);
}
/**
* 获取权限
*/
@Test
public void getAcl() throws Exception {
List<ACL> aclList = client.getACL().forPath(nodePath);
ACL acl = aclList.get(0);
System.out.println(acl.getId().getId()
+ "是否有删读权限:" + (acl.getPerms() == (Perms.READ | Perms.DELETE)));
}
@After
public void destroy() {
if (client != null) {
client.close();
}
}
}
https://github.com/heibaiying/BigData-Notes/tree/master/code/Zookeeper/curator:この倉庫の完全なソースコードを参照してください。
もっと大きなデータ系列は、GitHubのオープンソースプロジェクトを見つけることができます:ビッグデータははじめに