其他分享
首页 > 其他分享> > Zookeeper访问控制笔记

Zookeeper访问控制笔记

作者:互联网

工作中用到关于访问控制的知识,在此记录一下,以备后续翻阅。

简单介绍

传统的文件系统中,ACL(Access Control)分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。Zookeeper的ACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission(权限),通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍

Zookeeper提供5中访问控制策略,如下表:

策略

概述

world

它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的

auth

 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)

digest

它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication

ip

它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段

super

在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)

另外,zookeeper-3.4.4的代码中还提供了对sasl的支持,不过缺省是没有开启的,需要配置才能启用,具体怎么配置在下文中介绍。

(2)id: id与scheme是紧密相关的,具体的情况在上面介绍scheme的过程都已介绍,这里不再赘述。

(3)permission: zookeeper目前支持下面一些权限:

笔记

1.zookeeper中访问控制权限不具有继承性,即每个节点是独立的,不存在父子继承关系;

2.auth与digest的策略却别是一个是明文密码、一个是密文。如下示例:

 auth策略命令组:

        addauth digest root:tlas1031@admin;#用户添加认证用户、登录

        setAcl / auth:root:tlas1031@admin:cdraw;

 digest命令组:

        setAcl / digest:root:{密文}:cdraw

        密文格式:BASE64(SHA1(password))

参考资料

说说Zookeeper中的ACL - hello嘿嘿嘿! - 博客园

初识ZooKeeper-ZooKeeper常用命令行操作_software_Dev_的博客-CSDN博客_zookeeper 目录

标签:node,zookeeper,访问控制,Zookeeper,笔记,权限,id,digest
来源: https://blog.csdn.net/phangle2015/article/details/122798210