Zookeeper(四)Acl权限控制
来源:互联网 发布:little mac 唇膏 编辑:程序博客网 时间:2024/04/28 22:30
传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没 有继承关系的,是独立控制的。Zookeeper的ACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍:
(1)scheme: scheme对应于采用哪种方案来进行权限管理,zookeeper实现了一个pluggable的ACL方案,可以通过扩展scheme,来扩展ACL的机制。zookeeper-3.4.4缺省支持下面几种scheme:
* world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
* auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)
* digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication
* ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
* super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
* sasl: sasl的对应的id,是一个通过sasl authentication用户的id,zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.
(2)id: id与scheme是紧密相关的,具体的情况在上面介绍scheme的过程都已介绍,这里不再赘述。
(3)permission: zookeeper目前支持下面一些权限:
CREATE(c): 创建权限,可以创建当前node的子节点
DELETE(d): 删除权限,可以删除当前node的子节点
READ(r): 读权限,可以获取当前node的数据,可以list当前node所有的child nodes
WRITE(w): 写权限,可以向当前node写数据
ADMIN(a): 管理权限,可以设置当前node的permission
在这里,介绍两个设置权限的方法
1.
密码需要是加密后的密文,perms就是设置的权限cdrwa
一般来说,在java中,会使用以下方法来加密密码:
org.apache.zookeeper.server.auth.DigestAuthenticationProvider.generateDigest(String idPassword),
查看方法的源码:
伪代码:
密码密文=base64(SHA1(id:passwprd))
设置了权限的节点,需要访问,操作时,需要先进行用户谁才行有权限操作,即执行
(1)scheme: scheme对应于采用哪种方案来进行权限管理,zookeeper实现了一个pluggable的ACL方案,可以通过扩展scheme,来扩展ACL的机制。zookeeper-3.4.4缺省支持下面几种scheme:
* world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的
* auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)
* digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication
* ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
* super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
* sasl: sasl的对应的id,是一个通过sasl authentication用户的id,zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.
(2)id: id与scheme是紧密相关的,具体的情况在上面介绍scheme的过程都已介绍,这里不再赘述。
(3)permission: zookeeper目前支持下面一些权限:
CREATE(c): 创建权限,可以创建当前node的子节点
DELETE(d): 删除权限,可以删除当前node的子节点
READ(r): 读权限,可以获取当前node的数据,可以list当前node所有的child nodes
WRITE(w): 写权限,可以向当前node写数据
ADMIN(a): 管理权限,可以设置当前node的permission
在这里,介绍两个设置权限的方法
1.
setAcl /node digest:[username]:[Encrypted password]:[perms]其中,[perm]是指cdrwa中一个或多个权限
密码需要是加密后的密文,perms就是设置的权限cdrwa
一般来说,在java中,会使用以下方法来加密密码:
org.apache.zookeeper.server.auth.DigestAuthenticationProvider.generateDigest(String idPassword),
查看方法的源码:
/*** @param idPassword like: superUser:111111*/static public String generateDigest(String idPassword) throws NoSuchAlgorithmException { String parts[] = idPassword.split(":", 2); byte digest[] = MessageDigest.getInstance("SHA1").digest( idPassword.getBytes()); return parts[0] + ":" + base64Encode(digest);}从源码,可以理解密码是如何加密的,先对(user:password)进行SHA1加密,得到密文再进行base64编码得到最后的密文,伪代码:
密码密文=base64(SHA1(id:passwprd))
2.
先添加一个认证用户,注意,这次是密码明文的
addauth digest [username]:[password plain]接着给节点设置权限,[perm]是指cdrwa中一个或多个权限
setAcl /node auth:[username]:[password plain]:[perm]
设置了权限的节点,需要访问,操作时,需要先进行用户谁才行有权限操作,即执行
addauth digest [username]:[password plain]
java源码可参照:点击打开链接
0 0
- Zookeeper(四)Acl权限控制
- Zookeeper ACL权限控制
- ZooKeeper ACL权限控制
- zookeeper acl权限
- zookeeper ACL 权限验证
- ZooKeeper通过Auth和ACL完成节点的权限控制。
- zookeeper 访问控制acl
- Zookeeper之ACL控制
- Linux 基础命令(四)—— 文件的权限和访问控制列表(ACL)
- acl权限控制详解
- linux ACL权限控制
- linux ACL权限控制
- Phalcon 权限控制 ACL
- acl访问权限控制
- ACL 权限控制
- ACL权限控制列表
- zookeeper acl 控制 代码片段
- Zookeeper的ACL控制探讨
- 微信公众平台测试账号 接口信息配置失败解决方法
- sdutacm-Fence Repair
- Lua 实验,数据类型相关
- 按PEP8风格自动排版Python代码
- 我的物联网综合知识之整体架构
- Zookeeper(四)Acl权限控制
- 逆向-数据宽度与逻辑运算
- 软件工程资料
- sdutacm-数据结构实验之二叉树六:哈夫曼编码
- 测试Protobuffer的定义格式对其时间和空间的影响
- laravel数据迁移使用总结
- hdu 1862 EXCEL排序
- LruCache
- 我的物联网综合知识之创建数据库
