zookeeper--基础知识点--5--ACL

最新推荐文章于 2024-03-28 09:30:00 发布

原创最新推荐文章于 2024-03-28 09:30:00 发布 · 804 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#zookeeper #setAcl #ACL

zookeeper 专栏收录该内容

12 篇文章

订阅专栏

本文详细介绍了Zookeeper的访问控制列表（ACL）机制，包括权限模式（scheme）、授权对象（ID）和权限（Permission）。讲解了world、auth、digest和ip四种授权方式，并通过实例展示了如何设置和使用这些权限。同时，提到了SuperDigest超级管理员的添加和使用场景，如忘记密码时的权限恢复和全集群ACL重置。

ACL：Access Control List 访问控制列表

1 ACL构成

ACL 权限控制，使用：scheme : id : perm 来标识，主要涵盖 3 个方面：

权限模式（Scheme）：授权的策略
授权对象（ID）:授权的对象
权限（Permission）:授予的权限

2 ACL 特性

ZooKeeper的权限控制是基于每个znode节点的，需要对每个节点设置权限
每个znode支持设置多种权限控制方案和多个权限
子节点不会继承父节点的权限，客户端无权访问某节点，但可能可以访问它的子节点

3 schema 采用何种方式授权

world：默认方式，相当于全部都能访问
auth：代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest：即用户名:密码这种方式认证，这也是业务系统中最常用的。用 username:password 字符串来产生一个MD5串，然后该串被用来作为ACL ID。认证是通过明文发送username:password 来进行的，当用在ACL时，表达式为username:base64 ，base64是password的SHA1摘要的编码。
ip：使用客户端的主机IP作为ACL ID 。这个ACL表达式的格式为addr/bits ，此时addr中的有效位与客户端addr中的有效位进行比对。

4 id 给谁授予权限

在这里插入图片描述

5 permission 授予什么权限

CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限，这5种权限简写为crwda。

这5种权限中，delete是指对子节点的删除权限，其它4种权限指对自身节点的操作权限。

更详细的如下:

权限	缩写	说明
CREATE	c	可以创建子节点
DELETE	d	可以删除子节点（仅下一级节点）
READ	r	可以读取节点数据及显示子节点列表
WRITE	w	可以设置节点数据
ADMIN	a	可以设置节点访问控制列表权限

# CREATE
[zk: localhost:2181(CONNECTED) 45] getAcl /a
'world,'anyone
: cdrwa
[zk: localhost:2181(CONNECTED) 46] setAcl /a world:anyone:drwa
[zk: localhost:2181(CONNECTED) 47] create /a/ab ab
Authentication is not valid : /a/ab

# DELETE
[zk: localhost:2181(CONNECTED) 48] setAcl /a world:anyone:crwa
[zk: localhost:2181(CONNECTED) 49] ls /a
[aa]
[zk: localhost:2181(CONNECTED) 50] delete /a/aa
Authentication is not valid : /a/aa

# READ
[zk: localhost:2181(CONNECTED) 51] setAcl /a world:anyone:cdwa
[zk: localhost:2181(CONNECTED) 52] get /a
org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /a
[zk: localhost:2181(CONNECTED) 53] ls /a
Authentication is not valid : /a
[zk: localhost:2181(CONNECTED) 54]

# WRITE
[zk: localhost:2181(CONNECTED) 54] setAcl /a world:anyone:cdra
[zk: localhost:2181(CONNECTED) 55] set /a 1
Authentication is not valid : /a

# ADMIN
[zk: localhost:2181(CONNECTED) 56] setAcl /a world:anyone:cdrw
[zk: localhost:2181(CONNECTED) 57] setAcl /a world:anyone:cdrwa
Authentication is not valid : /a

6 测试

此处全部以r权限进行示例

6.1 schema为world

[zk: localhost:2181(CONNECTED) 10] setAcl /a world:anyone:ra
[zk: localhost:2181(CONNECTED) 11] get /a
a
[zk: localhost:2181(CONNECTED) 12] ls /a
[aa]

6.2 schema为ip

[zk: localhost:2181(CONNECTED) 13] setAcl /a ip:127.0.0.1:ra
[zk: localhost:2181(CONNECTED) 14] get /a  # locahost也没有r权限，必须是127.0.0.1
org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /a
[zk: localhost:2181(CONNECTED) 15] close
...
...
... # 再按Enter键
[zk: localhost:2181(CLOSED) 16] connect 127.0.0.1:2181  # 使用127.0.0.1连接
...
...
... # 再按Enter键
[zk: 127.0.0.1:2181(CONNECTED) 17] getAcl /a
'ip,'127.0.0.1
: ra
[zk: 127.0.0.1:2181(CONNECTED) 18] get /a
a
[zk: 127.0.0.1:2181(CONNECTED) 19] ls /a
[aa]

6.3 schema为auth

[zk: localhost:2181(CONNECTED) 13] addauth digest zhangsan:123456  # 增加授权用户,明文用户名和密码
[zk: localhost:2181(CONNECTED) 14] setAcl /a auth:zhangsan:ra
[zk: localhost:2181(CONNECTED) 15] get /a 
a
[zk: localhost:2181(CONNECTED) 16] close
...
...
... # 再按Enter键
[zk: localhost:2181(CLOSED) 17] connect localhost:2181
...
...
... # 再按Enter键
[zk: localhost:2181(CONNECTED) 18] get /a
org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /a
[zk: localhost:2181(CONNECTED) 19] ls /a
Authentication is not valid : /a
[zk: localhost:2181(CONNECTED) 20] addauth digest zhangsan:123456
[zk: localhost:2181(CONNECTED) 21] get /a
a
[zk: localhost:2181(CONNECTED) 22] ls /a
[aa]

在auth认证模式中addauth的作用：

[1] 增加授权用户,明文用户名和密码
[2] 进行auth认证模式进行认证

6.4 schema为digest

# 该命令功能也可以使用其他语言实现
[root@lighthouse ~]# echo -n lisi:123456 | openssl dgst -binary -sha1 | openssl base64
yoHDeYtQqNbfIsD6tuoYFXFB59g=  # 得到密文

[zk: localhost:2181(CONNECTED) 1] setAcl /a digest:lisi:yoHDeYtQqNbfIsD6tuoYFXFB59g=:ra
[zk: localhost:2181(CONNECTED) 2] ls /a
Authentication is not valid : /a
[zk: localhost:2181(CONNECTED) 3] get /a
org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /a
[zk: localhost:2181(CONNECTED) 4] addauth digest lisi:123456
[zk: localhost:2181(CONNECTED) 5] ls /a
[aa]
[zk: localhost:2181(CONNECTED) 6] get /a
a

在digest认证模式中addauth的作用：只进行认证。

本人猜测auth与digest认证方式本质都是相同的，都是对password进行SHA-1运算然后进行base64编码，然后将得到的值进行存储。最后在某次会话中认证时通过程序员提供password，然后进行相同运算，将得到的值与存储的值进行比对。比对相同就通过认证，否则不通过。auth与digest认证方式不同之处仅在于为某个结点添加认证时的方式不同。在开发过程中经常使用的是digest认证。

6.5 schema为SuperDigest 超级管理员

6.5.1 添加super权限

步骤1：

[root@lighthouse ~]# echo -n super:123456 | openssl dgst -binary -sha1 | openssl base64
BBO7K8dPkoek/JxIHqXxM75QRpI=

步骤2：

在zkServer.sh中添加一行内容：

    "-Dzookeeper.DigestAuthenticationProvider.superDigest=super:BBO7K8dPkoek/JxIHqXxM75QRpI=" \

添加完成后如下图所示：
在这里插入图片描述
步骤3：

启动zkServer.sh，前提已配置环境变量，否则需进入到/opt/apache-zookeeper-3.6.2-bin/bin下再执行以下命令。

# 启动命令
[root@lighthouse ~]# zkServer.sh start

# 重启命令
[root@lighthouse ~]# zkServer.sh restart

6.5.2 使用场景

6.5.2.1场景1

遇到以下问题：

当使用auth或digest认证模式为某个znode设置了acl权限后，但是密码忘记了。

解决办法：

步骤1：

添加super权限，按6.5.1进行操作。

步骤2：

进行认证，重启zookeeper之后,执行: addauth digest super:123456

步骤3：
将zookeeper下面的所有节点: 设置为
'world,'anyone
: cdrwa
命令如下 : 
setAcl /testAcl world:anyone:cdrwa //将该节点设置为最高权限!

6.5.2.2场景2

遇到以下问题：

zookeeper下面有zookeeper,hadoop-ha,spark结点等等，并对集群下面所有节点都设置了ACL权限认证之后,集群的启动直接报错!集群彻底爆炸!

解决办法：

步骤1：

添加super权限，按6.5.1进行操作。

步骤2：

进行认证，重启zookeeper之后,执行: addauth digest super:123456

步骤3：
将zookeeper下面的所有节点: 设置为
'world,'anyone
: cdrwa
命令如下 : 
setAcl /testAcl world:anyone:cdrwa //将该节点设置为最高权限!