【zookeeper】ACL super 超级管理员

最新推荐文章于 2024-07-10 07:58:41 发布
最新推荐文章于 2024-07-10 07:58:41 发布
阅读量7.1k 收藏 3
点赞数 4
CC 4.0 BY-SA版权
分类专栏: zookeeper 文章标签: zookeeper 密码 管理 acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010900754/article/details/78498291
本文介绍如何在ZooKeeper中设置超级管理员权限,确保在忘记节点密码时仍能进行管理。通过在启动脚本中添加特定配置实现,并演示了添加权限的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

zk的权限管理表有一种ACL的模式叫做super,该模式的作用是方便管理节点。一旦我们为某一个节点设置了acl,那么其余的未授权的节点是无法访问或者操作该节点的,那么系统用久了以后,假如忘记了某一个节点的密码,那么就无法再操作这个节点了,所以需要这个super超级管理员用户权限,其作用还是很大的。

下面看下如何加入一个超级管理员。

添加方式:

只能在启动服务器的时候添加。

假设这个超管是:super:admin,通过代码得到其哈希值:

String m = DigestAuthenticationProvider.generateDigest("super:admin");
m是: 

super:xQJmxLMiHGwaqBvst5y6rkB6HQs=
那么打开zk目录下的/bin/zkServer.sh服务器脚本文件,找到如下一行: 

nohup $JAVA "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}"
这就是脚本中启动zk的命令,默认只有以上两个配置项,我们需要加一个超管的配置项: 

"-Dzookeeper.DigestAuthenticationProvider.superDigest=super:xQJmxLMiHGwaqBvst5y6rkB6HQs="
第一个等号之后的就是刚才用户名密码的哈希值。

那么修改以后这条完整命令变成了:

nohup $JAVA "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" "-Dzookeeper.DigestAuthenticationProvider.superDigest=super:xQJmxLMiHGwaqBvst5y6rkB6HQs="\
    -cp "$CLASSPATH" $JVMFLAGS $ZOOMAIN "$ZOOCFG" > "$_ZOO_DAEMON_OUT" 2>&1 < /dev/null &
之后启动zk集群。


输入如下命令添加权限:

addauth digest super:admin

我的zk有一个节点/test,acl为:


有一个digest的cr权限。

正常情况下,这次登陆如果不用那个digest授权是不能访问/test的数据的。但是由于我们配置了超管,所以这次还是可以访问到的。


需要说明的是,这个超管只是在这次服务器启动期间管用,如果关闭了服务器,并修改了服务器脚本,取消了超管配置,那么下一次启动就没有这个超管了。







【大数据Zookeeper系列】 Zookeeper ACL
weixin_54707168的博客
04-09 342
为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。
zookeeper删除节点的权限_四、zookeeperAcl权限控制
weixin_34862561的博客
02-05 804
一、概述zookeeper 类似文件系统,client 可以创建节点、更新节点、删除节点,那么如何做到节点的权限的控制呢?zookeeper的access control list 访问控制列表可以做到这一点。语法#采用特定的授权策略给特定的对象授予特定的权限setAcl path scheme:id:permissionacl 权限控制,使用scheme:id:permission 来标识,主要...
zookeeper命令详解和级用户配置
sunxunyong的博客
07-10 685
4.执行命令进入zkCli模式:/usr/hdp/zookeeper/bin/zkCli.sh,再执行addauth digest super:superpw认证身份,这样就具备超级管理员角色,可以操作任意节点了。/usr/hdp/3.1.0.0-78/zookeeper/bin/zkCli.sh -server 主机名:2181。2.编辑/usr/hdp/zookeeper/bin/zkServer.sh,添加一些配置。./zkCli.sh -server 主机名:2181!
zookeeper——权限控制ACL
保暖透气大裤衩LeoLee的博客
04-10 597
概述 ACL,全称:access control list,与linux系统对文件的权限控制类似,主要涵盖三个方面: 权限模式(scheme):授权的策略 授权对象(id):anyone、ip地址 权限(permission) 特点如下: zookeeper的权限控制是基于每个znode节点的,对每个节点设置权限 每个znode支持设置多种权限控制方案核多个权限 子节点不会继承父节点的权限,客户端无权访问某节点,但是可以访问它的子节点。 授权模式 world:默认授权模式,代表登录zooke
zookeeper --禁用ACL 与 设置super级用户1
qq_41768644的博客
03-31 808
zookeeper 禁用ACL zookeeper 设置super级用户
ZooKeeper ACLSuper模式
totally123的专栏
08-08 1029
根据ACL权限控制的原理,一旦对一个数据节点设置了权限,那么其他没有被授权的ZooKeeper客户端将无法访问该节点。那么,如果一个节点包含了ACL权限控制,而其创建者客户端已经退出或者已经不再使用,此时可以使用超级管理员权限来进行处理。 生成权限Id import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;...
CentOS 7 下 zookeeper ACL 超级管理员使用
老实人张大傻
04-29 1040
背景 使用 zookeeper 添加普通账户,并给某节点进行赋权,忘记密码后,无法对该节点进行操作,通过开启 ACL super 账户进行操作。 zkCli 连接 $ zkCli.sh 添加 ACL 测试账户 # addauth digest 用户名:密码 [zk: localhost:2181(CONNECTED) 4] addauth digest test:test123 ...
Zookeeper的高级特性介绍——监听器以及ACL权限控制
cj_eryue的博客
01-28 643
目录 1.监听器 1.1监听当前节点 1.2监听子节点 2.ACL权限控制 2.1 world授权模式 2.2 IP授权模式 2.3auth授权模式 2.4 digest授权模式 2.5ACl超级管理员 前面我们讲解了zookeeper的节点的增删改查操作,接下来我们来看下zookeeper的一些高级特性: 1.监听器 十分重要,后面说操作zookeeper的API时再细说 1.1监听当前节点 get 节点路径 watch 注册一个监听,一次性的 st...
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4841
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
ZooKeeper【基础 04】控制权限ACL(原生的 Shell 命令)_zookeeper添加权限如何查看
2301_82257383的博客
05-08 932
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access。可以使用如下所示的命令为当前 Session 添加用户认证信息,等价于登录操作。还有大家最喜欢的黑客技术。
Kafka + zookeeper (ACL)安全认证及权限控制
JKjiang123的博客
05-13 7433
版本:kafka_2.12-2.4.1、apache-zookeeper-3.6.3-bin 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf 文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}...
ZooKeeper级权限
linyu123的专栏
09-22 387
Zookeeper的一个节点不知道什么原因无法删除了,查看日志发现是没有权限,我们之前使用ACL进行Zookeeper节点的权限管理。查阅了相关资料后发现Zookeeper居然有超级管理员,呵呵,这下好办了。   使用以下代码生成密码的密文: Java代码   import java.io.IOException;   import java.security.Mess...
zookeeper的权限控制
qq_29860591的博客
04-21 287
zookeeperacl权限控制概述​ zookeeper 类似文件系统,client 可以创建节点、更新节点、删除节点,那么如何做到节点的权限的控制呢?zookeeper的access control list 访问控制列表可以做到acl 权限控制,使用scheme:id:permission 来标识,主要涵盖 3 个方面: 权限模式(scheme):授权的策略 授权对象(id)...
ZooKeeper系列(五)—— ACL 权限控制
weixin_30362083的博客
08-17 268
一、前言 为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。 二、使用Shell进行权限管理 2.1 设置与查看权限 想要给某个...
ZK/zookeeper常规命令 | Watch监控命令的使用 | ACL权限操作 | Four Letter Words四字命令详解 | 配置super级用户权限 | 总结的很全面,你会喜欢吗
热门推荐
血煞长虹 的专栏
12-08 1万+
文章力求用最精简的语言,全面系统的介绍了zk各种命令的使用,这些命令都很重要,可以不用完全熟记,但是不可不知,温故而知新。 get set 是一些常规操作命令,Watch命令用来监听节点的各种变化(java项目实战用的比较多),nc命令有时候也不可或缺,比如dump命令。 全文根据命令的分类:常规、watch监控、Acl权限、nc四字命令,共分为四大章节。可更加目录,快速定位查看。
ZookeeperACL权限控制
qq_36746807的博客
04-19 805
ZookeeperACL权限控制,可以控制节点的读写操作,保证数据的安全性,Zookeeper ACL权限设置分为3部分组成,分别是:权限模式(Scheme)、授权对象(ID)、权限信息(Permission)。数据节点(r:read)读取权限,授予权限的对象可以读取该节点的内容以及子节点的列表信息;数据节点(a:admin)管理者权限,授予权限的对象可以对该数据节点体进行ACL权限设置。数据节点(d:delete)删除权限,授予权限的对象可以删除该数据节点的子节点;
1.Zookeeper特性与节点数据类型详解
Zhuxiaoyu_91的博客
06-20 3302
和持久节点的区别是 ZK 服务端启动后,会有一个单独的线程去扫描,所有的容器节点,当发现容器节点的子节点数量为 0 时,会自动删除该节点。PERSISTENT_RECURSIVE,持久化递归订阅(默认),在PERSISTENT的基础上,增加了子节点修改的事件触发,以及子节点的子节点的数据变化都会触发相关事件(满足递归订阅特性)数据发布/订阅的一个常见的场景是配置中心,发布者把数据发布到 ZooKeeper 的一个或一系列的节点上,供订阅者进行数据订阅,达到动态获取数据的目的。3.3.0版本引入的。
zk 权限控制
zhongzunfa的专栏
07-11 6903
1、 zk权限介绍 1) ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写) 注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。 2) 身份的认证有4种方式: world:默认方式,相当于全世界都能访问 auth:代表...
zookeeper学习笔记(三)zk中的watch,acl和授权模式
liutao43的博客
04-01 1493
watch 理解成是注册在特定Znode上的触发器。当这个Znode发生改变,也就是调用了create,delete,setData方法的时候,将会触发Znode上注册的对应事件,请求Watch的客户端会接收到异步通知。 也就是说: 1.客户端调用读方法,watch参数是true。服务端接到请求,返回节点数据,并且在对应的哈希表里插入被Watch的Znode路径,以及Watcher列表。 2.当被Watch的Znode发生改变,服务端会查找哈希表,找到该Znode对应的所有Watcher,异步通知客户端,
zookeeperacl
最新发布
03-08
### ZooKeeper ACL配置与管理 #### 定义ACL机制 ZooKeeper 使用 ACL (Access Control Lists) 来控制 Znode 的访问权限[^2]。这种机制类似于 UNIX 文件系统的权限控制系统,通过设置不同的权限位来决定哪些操作是可以执行的。 #### 特殊模式——Super模式 存在一种特殊的工作模式称为 Super 模式,在此模式下级用户能够绕过所有的 ACL 限制并对任何数据节点实施全部的操作[^1]。这使得管理员可以在必要时拥有最高级别的控制权而无需考虑常规的安全约束。 #### ACL的具体构成要素 尽管 ZooKeeper 借鉴了类 Unix 系统中的权限模型,但它并不区分具体的用户、组或其他实体;相反,它依赖于身份验证方案(如 IP 地址或 Kerberos 认证)来定义谁具有特定的权利。 #### 实现方式及命令示例 为了管理和应用这些规则,可以利用 `addauth` 和 `set_acl` API 函数以及相应的 CLI 工具来进行配置。下面是一个简单的 Python 脚本例子展示如何向某个路径添加认证信息并设定其 ACL: ```python from kazoo.client import KazooClient zk = KazooClient(hosts='127.0.0.1:2181') zk.start() # 添加认证信息 zk.add_auth('digest', 'username:password') # 设置指定路径下的ACL列表 acls = [ {'perms': 31, 'scheme': 'world', 'id': 'anyone'}, # 给所有人读写删除创建子节点权限 ] path = "/example" zk.set_acls(path, acls) print(f"Set ACL on {path}") ``` 上述代码片段展示了怎样连接到本地运行的一个 Zookeeper 实例,并为其根目录 `/example` 下的所有资源赋予完全开放式的访问许可给所有客户端。 #### 默认挂载选项的支持情况 当操作系统默认挂载选项包含有 `user`, `xattr`, 或者 `acl` 字样时,则表明该文件系统支持扩展属性和访问控制列表功能[^3]。不过需要注意的是,这里提到的内容主要针对 Linux 文件系统的特性而非直接关联至 Zookeeper 自身的服务层面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值