Zookeeper超级用户

最新推荐文章于 2024-07-10 07:58:41 发布
原创 最新推荐文章于 2024-07-10 07:58:41 发布 · 8.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#superDigest #超级权限

本文介绍了Zookeeper管理员如何在紧急情况下使用超级用户模式绕过权限限制访问节点。超级用户模式通过设置zookeeper.DigestAuthenticationProvider.superDigest参数启用,并通过DigestAuthenticationProvider生成superDigest。在示例中,展示了为Znode设置权限以及使用超级用户进行访问的过程。

Zookeeper管理员会因为某些客户端对某些节点设置了权限,而导致在紧急的情况下无法修改这些节点感到困扰。在这种情况下,管理员可以通过Zookeeper超级用户模式访问这些节点,一旦设置了超级权限访问节点,后续的操作就不需要check ACL了。

使用超级用户模式,可以通过Zookeeper的zookeeper.DigestAuthenticationProvider.superDigest参数开启。

使用org.apache.zookeeper.server.auth.DigestAuthenticationProvider生成superDigest:

 

	@Test
	public void generate() {
		try {
			System.out.println(DigestAuthenticationProvider.generateDigest("super:superpw"));
		} catch (NoSuchAlgorithmException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
	}

输出

 

 

super:g9oN2HttPfn8MMWJZ2r45Np/LIA=


在${ZOOKEEPER_HOME}/bin/zkServer.sh配置启动参数:

 

我使用的是zookeeper-3.4.6,修改zkServer.sh文件的第109行:

 

nohup "$JAVA" "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" "-Dzookeeper.DigestAuthenticationProvider.superDigest=super:g9oN2HttPfn8MMWJZ2r45Np/LIA=" \


超级权限是通过DigestAuthenticationProvider实现的,示例:

 

 

	@Test
	public void testSuperServer() {
		List<ACL> acls = new ArrayList<ACL>(2);
		try {
			Id id1 = new Id("digest", DigestAuthenticationProvider.generateDigest("fish:fishpw"));
			ACL acl1 = new ACL(ZooDefs.Perms.WRITE, id1);

			Id id2 = new Id("digest", DigestAuthenticationProvider.generateDigest("qsd:qsdpw"));
			ACL acl2 = new ACL(ZooDefs.Perms.READ, id2);

			acls.add(acl1);
			acls.add(acl2);
		} catch (NoSuchAlgorithmException e1) {
			e1.printStackTrace();
		}

		ZooKeeper zk = null;
		try {
			zk = new ZooKeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181", 300000, new Watcher() {
				// 监控所有被触发的事件
				public void process(WatchedEvent event) {
					System.out.println("已经触发了" + event.getType() + "事件!");
				}
			});
			if (zk.exists("/test", true) == null) {
				System.out.println(zk.create("/test", "ACL测试".getBytes(), acls, CreateMode.PERSISTENT));
			}
		} catch (IOException e) {
			e.printStackTrace();
		} catch (KeeperException e1) {
			e1.printStackTrace();
		} catch (InterruptedException e1) {
			e1.printStackTrace();
		}
	}

	@Test
	public void testSuperClient() {
		try {
			ZooKeeper zk = new ZooKeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181", 300000, new Watcher() {
				// 监控所有被触发的事件
				public void process(WatchedEvent event) {
					System.out.println("已经触发了" + event.getType() + "事件!");
				}
			});
			zk.addAuthInfo("digest", "super:superpw".getBytes());
			System.out.println(new String(zk.getData("/test", null, null)));
			zk.setData("/test", "I change!".getBytes(), -1);
		} catch (KeeperException e) {
			e.printStackTrace();
		} catch (InterruptedException e) {
			e.printStackTrace();
		} catch (IOException e) {
			e.printStackTrace();
		}
	}

示例先使用digest对Znode /test 设置读写权限,然后通过super:superpw的超级用户去访问。
 

zookeeperzookeeper 性能优化与配置详解 一些踩坑建议
九师兄
09-15 6773
ZooKeeper的功能特性通过ZooKeeper配置文件来进行控制管理( zoo.cfg配置文件)。ZooKeeper这样的设计其实是有它自身的原因的。通过前面对ZooKeeper的配置可以看出,对ZooKeeper集群进行配置的时候,它的配置文档是完全相同的(对于集群伪分布模式来说,只有很少的部分是不同的)。这样的配置方使得在部署ZooKeeper服务的时候非常地方便。另外,如果服务器使用不同的配置文件,必须要确保不同配置文件中的服务器列表相匹配。
Zookeeper客户端命令行学习(二)
BushRo
07-11 2417
ACL权限控制 针对节点可以设置相关读写等权限,目的为了保障数据安全性 权限permissions可以指定不同的权限范围以及角色 ACL命令行 getAcl:获取某个节点的acl权限信息 setAcl:设置某个节点的acl权限信息 addauth:输入认证授权信息,注册时输入明文密码(登陆)但是在zk的系统里,密码是以加密的形式存在的 zk的acl通过[scheme
zookeeper 集群配置文件中增加账号认证
网络战争的博客
01-18 1846
4. 设置环境变量:在每个Zookeeper服务器上设置环境变量,指定`ZOO_OPTS`为`-Djava.security.auth.login.config=zoo_jaas.conf`。该文件将用于配置Zookeeper权限设置。3. 创建一个JAAS登录文件:在`zoo.cfg`文件同级目录下创建一个命名为`zoo_jaas.conf`的文件,用于存储Zookeeper的登录凭据。其中,`Server`是一个标识符,`user_admin`是用户名,`adminpassword`是密码。
zookeeper命令详解和超级用户配置
最新发布
sunxunyong的博客
07-10 786
4.执行命令进入zkCli模式:/usr/hdp/zookeeper/bin/zkCli.sh,再执行addauth digest super:superpw认证身份,这样就具备超级管理员角色,可以操作任意节点了。/usr/hdp/3.1.0.0-78/zookeeper/bin/zkCli.sh -server 主机名:2181。2.编辑/usr/hdp/zookeeper/bin/zkServer.sh,添加一些配置。./zkCli.sh -server 主机名:2181!
Zookeeper acl超级用户
金溪的博客
07-07 3547
总体来说,ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN也就是增、删、改、查、管理权限,这5种权限简写为crwda。 注: delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。   Cli命令行下可这样测试: create /test 'test-data' getAcl /test 通过getAcl命令可以发现,刚创建的...
超级好用的Zookeeper可视化工具
06-19
本文将详细介绍一款被称为“超级好用”的Zookeeper可视化工具——Zookeeper Visualizer(简称ZkVisualizer),尤其适合Mac用户。 ZkVisualizer是一款跨平台的应用程序,它提供了直观的用户界面,使得Zookeeper...
超级好用的zookeeper查看器
04-22
超级好用的Zookeeper查看器:大数据时代的数据协调者》 Zookeeper,这款由Apache基金会开发的分布式协调服务,已经在大数据领域扮演了至关重要的角色。它作为一个高可用、高性能的中间件,主要负责管理分布式应用...
zookeeper
Meiko记录
06-28 2506
Zookeeper 运行模式 Zookeeper 有两种运行模式,单点模式和集群模式。 单点模式(standalone mode)- Zookeeper 只运行在单个服务器上,常用于开发测试阶段,这种模式比较简单,但是不能保证Zookeeper服务的高可用性和恢复性。 集群模式(replicated mode)- 英文原文这种模式叫做“复制模式”;这个模式下,Zookeeper运行于一个集群上,适合生产环境。 同一个集群下的server节点被称为quorum,翻译过来就是“一个正式会议
Zookeeper 三、Zookeeper基本使用
qq_43626215的博客
06-25 1371
对于每一个事务请求,Zookeeper都会为其分配一个全局唯一的事务ID,用ZXID来表示,通常是一个64位的数字。在Zookeeper中,每一个数据节点都是一个ZNode,上图根目录下有两个节点,分别是:app1和app2,其中app1下面又有三个子节点,所有ZNode按层次化进行组织,形成这么一棵树,ZNode的节点路径标识方式和Unix文件系统路径非常相似,都是由一系列使用斜杠(/)进行分割的路径表示,开发人员可以向这个节点写入数据,也可以在这个节点下面创建子节点。
Zookeeper
javajy的博客
11-11 1050
Zookeeper
ZooKeeper超级权限
linyu123的专栏
09-22 409
Zookeeper的一个节点不知道什么原因无法删除了,查看日志发现是没有权限,我们之前使用ACL进行Zookeeper节点的权限管理。查阅了相关资料后发现Zookeeper居然有超级管理员,呵呵,这下好办了。   使用以下代码生成密码的密文: Java代码   import java.io.IOException;   import java.security.Mess...
zookeeper --禁用ACL 与 设置super超级用户1
qq_41768644的博客
03-31 925
zookeeper 禁用ACL zookeeper 设置super超级用户
ZooKeeper Notes 7】使用super身份对有权限的节点进行操作
weixin_34115824的博客
07-14 212
      转载请用注明:@ni掌柜 nileader@gmail.com       如果客户端设置了权限,那么其它人如果没有授权,就无法对这个节点进行操作。但是对于管理员来说,有没有一种方法,可以对任意节点进行操作呢,答案是有的~ 方法简单描述如下: 1. 确认是否开启zookeepersuperDigest模式。方法如下:      首先配置如下启动参数,然后重启server  ...
CentOS 7 下 zookeeper ACL 超级管理员使用
老实人张大傻
04-29 1060
背景 使用 zookeeper 添加普通账户,并给某节点进行赋权,忘记密码后,无法对该节点进行操作,通过开启 ACL super 账户进行操作。 zkCli 连接 $ zkCli.sh 添加 ACL 测试账户 # addauth digest 用户名:密码 [zk: localhost:2181(CONNECTED) 4] addauth digest test:test123 ...
Zookeeper的高级特性介绍——监听器以及ACL权限控制
cj_eryue的博客
01-28 656
目录 1.监听器 1.1监听当前节点 1.2监听子节点 2.ACL权限控制 2.1 world授权模式 2.2 IP授权模式 2.3auth授权模式 2.4 digest授权模式 2.5ACl超级管理员 前面我们讲解了zookeeper的节点的增删改查操作,接下来我们来看下zookeeper的一些高级特性: 1.监听器 十分重要,后面说操作zookeeper的API时再细说 1.1监听当前节点 get 节点路径 watch 注册一个监听,一次性的 st...
Zookeeper重要概念
守正出奇
08-13 821
zookeeper将所有的数据存储在内存中,数据模型是一棵树,有/进行分割的路径,就是一个数据节点Znode。Zookeeper允许用户在指定节点上注册一些Watcher,并且在一些特定事件触发的时候,Zookeeper服务端会将事件通知到感兴趣的客户端上。数据节点分为持久节点、临时节点,顺序节点,组合起来一共是4类:持久性普通节点、持久性顺序节点、临时性普通节点、临时性顺序节点。只要在sessionTimeout 时间内,连上任意一个实例,session都有效。..................
Zookeeper--ACL权限控制
吴声子夜歌的博客
05-13 634
ACL ACL,即访问控制列表,是一种相对来说比较新颖且更细粒度的权限管理方式,可以针对任意用户和组进行细粒度的权限控制。目前绝大部分Unix系统都已经支持了ACL方式的权限控制,Linux 也从2.6版本的内核开始支持这个特性。 ZooKeeper的ACL权限控制和Unix/Linux操作系统中的ACL有一些区别,可以从三个方面来理解ACL机制,分别是:权限模式( Scheme)、 授权对象(ID)和权限(Permission),通常使用“scheme:id:permission” 来标识一个有效的ACL
Zookeeper--03--常用Shell命令
时光里的博客
05-23 823
启动 Zookeeper /usr/local/src/zookeeper/bin [root@localhost zookeeper] cd /usr/local/src/zookeeper/bin [root@localhost bin] sh zkServer.sh status [root@localhost bin] sh zkServer.sh start [root@localhost bin] sh zkCli.sh 1 新增节点 create [-s] [-e] path
Mac版Zookeeper可视化工具:轻松管理ZK连接
本文提及的“超级好用的Zookeeper可视化工具”就是这类工具之一。 从描述中可知,这个工具是专为Mac操作系统设计的版本,用户只需下载应用程序后将其拖入应用程序文件夹即可使用,非常便捷。它还支持保存已经连接过...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值