关于Zookeeper权限的一些坑

最新推荐文章于 2025-05-18 20:16:28 发布
最新推荐文章于 2025-05-18 20:16:28 发布
阅读量844 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Zookeeper 踩坑 文章标签: zookeeper java 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/eclipse9527/article/details/122586044
本文探讨了Zookeeper中SASL认证模型的配置方法及Java连接代码实现的问题。指出使用SASL认证时,不能通过addAuthInfo方法进行权限设置,并解释了其原因。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

由于业务需求,需要给Zookeeper去配置一个权限,什么类型都可以。查阅技术文档后,选择了可以通过配置文件配置的SASL模型。auth、digest都无法通过配置文件去配置用户名和密码。然而在写Java连接代码时,遇到了问题

问题

在Java代码中,通常使用addAuthInfo(schema,auth)来给连接添加权限,digest、auth都是通过该方法添加权限,而在尝试之后,发现无论如何都没法通过addAuthInfo(schema,auth)通过SASL认证。

原因

在查阅官方文档后,发现:若使用SASL方式认证,那么addAuth方法将会失效。wiki说明地址

addauth

The SASL authentication scheme differs from certain other schemes in that the "addauth " command has no effect if scheme is “sasl”. This is because authentication is performed using SASL-enabled token exchange immediately after connection, rather than occuring any time after connection, as addauth is.

SASL认证方案与某些其他方案的不同之处在于“addauth <scheme><auth>"如果scheme为"sasl"则命令无效。这是因为身份验证是在连接之后立即使用支持sasl的令牌交换执行的,而不是像addauth那样在连接之后的任何时间执行。

Zookeeper03——权限管理
November22的博客
03-17 1194
1.简介
关于Zookeeper未授权访问漏洞的解决办法
DreamsArchitects的博客
09-12 1万+
一、介绍 搭建完zookeeper集群后,收到了关于zookeeper的漏洞信息: 我们在使用zookeeper提供的服务的时候会发现,只要知道zk服务端的IP和Port,任务用户或者客户端根本不需要任何的认证就可以连上zk的服务端,并且可以对znode进行增删等操作。这样数据是非常不安全的,极易被攻击和篡改。 zookeeper解决这个问题的手段是ACL(access control list)机制,即访问控制列表。 1.权限操作 权限permission:zookeeper目前支持下面一些权限: C
zookeeper解压权限不足_原来zookeeper安装如此简单
weixin_42314420的博客
02-03 1333
上节我们简单讲了下zookeeper是什么,以及它有哪些特证,下面我们讲下它怎么安装。1、配置JAVA环境,检验环境:java -version2、下载并解压zookeeper(https://zookeeper.apache.org/releases.html 官网页面选择进行下载)下载后放到 Linux服务器上可以使用文件上传工具 xftp 或者 插件 lrzsz (yum install l...
Zookeeper权限控制介绍
fang0604631023的博客
11-09 5443
Zookeeper权限控制介绍
Zookeeper 入门(二)
最新发布
yw2490614330的博客
05-18 1402
Zookeeper 的ACL 权限控制,可以控制节点的读写操作,保证数据的安全性,Zookeeper ACL 权限设置分为 3 部分组成,分别是:权限模式(Scheme)、授权对象(ID)、权限信息最终组成一条例如“scheme:id:permission”格式的 ACL 请求信息。下面我们具体看一下这 3 部分代表什么意思:Scheme(权限模式):用来设置 ZooKeeper 服务器进行权限验证的方式。ZooKeeper权限验证方式大体分为两种类型:一种是范围验证。
ZooKeeper安装与配置
ImezZ
03-30 9664
一、ZooKeeper安装和配置 1、zookeeper下载 ZooKeeper官网https://zookeeper.apache.org/本文用的是zookeeper-3.4.8.tar.gz,下载 zookeeper-3.4.8.tar.gz。上传至主机/opt目录下 2、安装和配置 安装模式有单机和集群两种,这是采用集群模式,单机模式这里不再赘述。 解压 tar -zxvf zookeeper-3.4.8.tar.gz 目录重命名 mv zookeeper-3.4.8
zookeeper配置kerberos认证的
06-08
配置 ZooKeeper 的 Kerberos 认证时,可能会遇到一些。以下是一些可能出现的问题和解决方法: 1. 配置文件中缺少必要的属性,例如 principal、keytab、authProvider 等。确保在 zoo.cfg 文件中正确配置了这些属性...
zookeeper可视化窗口
04-16
5. **权限控制**:可视化窗口通常也会提供对节点ACL(访问控制列表)的管理,确保只有授权的用户或服务能访问特定资源。 6. **日志监控**:可以查看Zookeeper的日志,帮助诊断和解决问题。 7. **性能指标**:显示...
Kafka集群多用户访问权限分治和消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-24 3253
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制和动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
zookeeper+disconf+mysql主从搭建总结
qq_41782623的博客
01-09 804
之前接触过disconf,最近发现现在系统的配置文件比较混乱(也不是混乱,就是不好管理),测试服务器一套,到正式环境又需要另外一套,有时候因为忘记修改配置文件调用地址或者从配置文件获取参数就会有问题。 所以打算搭建一个disconf服务器,分布式管理配置文件。 准备了两台Linux,46 和48,看教程好像搭建集群的需要三台,所以先搭建了单机版的服务。 首先下载了一堆配置环境需要的东西,一点一点...
开启zookeeper的安全认证功能,并配置kafka对zookeeper的身份验证
热门推荐
zhang5324496的博客
12-21 3万+
目录 1-- 为啥需要开启zookeeper认证 2-- 如何开启zookeeper认证 2.1-- 修改文件 zoo.cfg, 开启认证功能 2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf) 2.3-- 设置jaas.conf的权限权限zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root 2.4-- 更新zookeeper的JVM flags 2.5...
ZooKeeper 笔记(5) ACL(Access Control List)访问控制列表
weixin_33825683的博客
09-28 279
zk做为分布式架构中的重要中间件,通常会在上面以节点的方式存储一些关键信息,默认情况下,所有应用都可以读写任何节点,在复杂的应用中,这不太安全,ZK通过ACL机制来解决访问权限问题,详见官网文档:http://zookeeper.apache.org/doc/r3.4.6/zookeeperProgrammers.html#sc_ZooKeeperAccessControl 总体来说,ZK的节点...
zoo_add_auth 参数无效问题
weixin_34198797的博客
03-18 207
利用zookeeper c api进行zk实例的初始化和权限添加时,喷到了一个情况:如代码所示 zk = zookeeper_init(url.c_str(), watcher, 30000, 0, 0, 0); if(zk != NULL) { AC_INFO("zk connect sucess, hostip=%s", url.c_str()); }...
zookeeper】问题解决 Authentication is not valid : /hbase/tokenauth
Mrerlou的博客
08-02 4963
最近在搭建Hbase服务时,服务无法启动,于是决定将hbase服务删除,在当删除zookeeper的/hbase节点时报错,报。看到网上大部分的文章都是使用跳过ACL或者开启super模式这两种方式,于是比较好奇有没有第三种解,这里整理并记录一下。SASL身份验证方案与某些其他方案的不同之处在于,如果方案是sasl,则命令无效。这是因为身份验证是在连接后立即使用启用SASL的令牌交换执行的,而不是像addauth那样在连接后的任何时间发生。相关链接httphttps。...
zookeeper权限控制
qq_24675765的博客
10-17 1316
ACL:zookeeper权限的控制是znode级别的,不具有继承性,即子节点不继承父节点的权限。这种设计在使用上还是有缺陷的,因为很多场景下,我们还是会把相关资源组织一下,放在同一个路径下面,这样就会有对一个路径统一授权的需求。 1.权限列表: read读 write写 create创建 detele删除 admin管理 控制方式(schema) IP方式:通过IP地址粒度进行权限控制模式 digest:digest是最常用的权限控制模式,采用username:passwo...
Zookeeper学习笔记(一)——Zookeeper的基本功能
飞!!!的博客
04-06 5480
Zookeeper学习笔记
Zookeeper(Kafka内置)单独添加SASL认证及ACL
Sayai的专栏
07-16 1832
通常,我们会给Kafka增加SASL以加强对kafka的安全访问,以满足漏扫对于kafka的访问安全漏扫要求。但漏扫的时候也会同样会对Kafka集群中的zk集群进行扫描。所以zk集群同样涉及到要配置kafka的安全认证。
zookeeper】zk选举、使用与三种节点简介
不想睡觉的橘子君的博客
09-22 1276
这里我准备了4台虚拟机,从node1到node4,其myid也从1到4.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

稷下学员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值