Zookeeper(四)Acl权限控制
2017-03-06 23:51
246 查看
传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没 有继承关系的,是独立控制的。Zookeeper的ACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍:
(1)scheme: scheme对应于采用哪种方案来进行权限管理,zookeeper实现了一个pluggable的ACL方案,可以通过扩展scheme,来扩展ACL的机制。zookeeper-3.4.4缺省支持下面几种scheme:
* world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
* auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)
* digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication
* ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
* super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
* sasl: sasl的对应的id,是一个通过sasl authentication用户的id,zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.
(2)id: id与scheme是紧密相关的,具体的情况在上面介绍scheme的过程都已介绍,这里不再赘述。
(3)permission: zookeeper目前支持下面一些权限:
CREATE(c): 创建权限,可以创建当前node的子节点
DELETE(d): 删除权限,可以删除当前node的子节点
READ(r): 读权限,可以获取当前node的数据,可以list当前node所有的child nodes
WRITE(w): 写权限,可以向当前node写数据
ADMIN(a): 管理权限,可以设置当前node的permission
在这里,介绍两个设置权限的方法
1.
密码需要是加密后的密文,perms就是设置的权限cdrwa
一般来说,在java中,会使用以下方法来加密密码:
org.apache.zookeeper.server.auth.DigestAuthenticationProvider.generateDigest(String idPassword),
查看方法的源码:
伪代码:
密码密文=base64(SHA1(id:passwprd))
2.
先添加一个认证用户,注意,这次是密码明文的
设置了权限的节点,需要访问,操作时,需要先进行用户谁才行有权限操作,即执行
addauth digest [username]:[password plain]
java源码可参照:点击打开链接
(1)scheme: scheme对应于采用哪种方案来进行权限管理,zookeeper实现了一个pluggable的ACL方案,可以通过扩展scheme,来扩展ACL的机制。zookeeper-3.4.4缺省支持下面几种scheme:
* world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
* auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)
* digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication
* ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
* super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
* sasl: sasl的对应的id,是一个通过sasl authentication用户的id,zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.
(2)id: id与scheme是紧密相关的,具体的情况在上面介绍scheme的过程都已介绍,这里不再赘述。
(3)permission: zookeeper目前支持下面一些权限:
CREATE(c): 创建权限,可以创建当前node的子节点
DELETE(d): 删除权限,可以删除当前node的子节点
READ(r): 读权限,可以获取当前node的数据,可以list当前node所有的child nodes
WRITE(w): 写权限,可以向当前node写数据
ADMIN(a): 管理权限,可以设置当前node的permission
在这里,介绍两个设置权限的方法
1.
setAcl /node digest:[username]:[Encrypted password]:[perms]其中,[perm]是指cdrwa中一个或多个权限
密码需要是加密后的密文,perms就是设置的权限cdrwa
一般来说,在java中,会使用以下方法来加密密码:
org.apache.zookeeper.server.auth.DigestAuthenticationProvider.generateDigest(String idPassword),
查看方法的源码:
/** * @param idPassword like: superUser:111111 */ static public String generateDigest(String idPassword) throws NoSuchAlgorithmException { String parts[] = idPassword.split(":", 2); byte digest[] = MessageDigest.getInstance("SHA1").digest( idPassword.getBytes()); return parts[0] + ":" + base64Encode(digest); }从源码,可以理解密码是如何加密的,先对(user:password)进行SHA1加密,得到密文再进行base64编码得到最后的密文,
伪代码:
密码密文=base64(SHA1(id:passwprd))
2.
先添加一个认证用户,注意,这次是密码明文的
addauth digest [username]:[password plain]接着给节点设置权限,[perm]是指cdrwa中一个或多个权限
setAcl /node auth:[username]:[password plain]:[perm]
设置了权限的节点,需要访问,操作时,需要先进行用户谁才行有权限操作,即执行
addauth digest [username]:[password plain]
java源码可参照:点击打开链接
相关文章推荐
- ZooKeeper ACL权限控制
- Zookeeper的ACL权限控制
- zookeeper使用ACL进行权限控制C++
- ZooKeeper设置ACL权限控制
- ZooKeeper通过Auth和ACL完成节点的权限控制。
- ZooKeeper设置ACL权限控制
- ZooKeeper3.4.6学习笔记(四)权限控制ACL
- 网络层访问权限控制技术-ACL详解
- OpenLDAP:用ACL控制访问权限
- 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对Web服务器上的该资源进行了配置
- 基于Kafka 0.9版本 使用ACL进行权限控制
- 批量创建用户并使用sudo和ACL来控制用户权限
- 关于ACL权限控制【ASP.NET MVC2】
- HDFS基于ACL权限控制
- linux ACL权限控制
- 基于zkClient对zooKeeper的权限控制
- Linux下ACL权限控制以及用sudo设置用户对命令的执行权限
- ZooKeeper使用ACL进行访问控制
- Zookeeper客户端API之节点检查和权限控制(十一)
- zookeeper 的权限控制