当前位置: 首页>编程语言>正文

zk设置权重 zk权限控制

1 zk的权限控制
 2     概述:
 3         zk类似文件系统,client可以创建节点,更新节点,删除节点,使用zk的access control list 访问控制列表可以做到这一点。
 4         acl权限控制,使用scheme:id:permission来标识,主要涵盖3个方面:
 5             -权限模式(scheme):授权的策略
 6             -授权对象(id):授权的对象
 7             -权限(permission):授予的权限
 8         其特性如下:
 9             -zk的权限控制是基于每个znode节点,需要对每个接待你设置权限
10             -每个znode支持设置多种权限控制方案和多个权限
11             -子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的字节带你
12         eg:
13             setAcl /test2 ip:192.11.11.11:crwda #将节点权限设置为ip:192.11.11.11的客户端对节点执行增、删、改、查、管理权限
14     权限模式:
15         采用何种方式授权
16             -world:只有一个用户:anyone,代表zookeeper所有人(默认)
17             -ip:对客户端使用ip地址认证
18             -auth:使用已添加认证的用户认证
19             -digest:使用"用户名:密码"方式认证
20     授权对象:
21         给谁授予权限;
22         授权对象是指权限赋予的实体,例如ip地址或者用户;
23     授予的权限:
24         create,delete,read,write,admin;即创建,删除,读,写,管理权限。这五种权限简写为cdrwa。注意:这五种权限中,delete是指对子节点的删除权限,其它四种权限是指对自身节点的操作权限。
25         -create:可以创建子节点
26         -delete:可以删除子节点(仅下一级节点)
27         -read:可以读取节点数据及显示子节点列表
28         -write:可以设置节点数据
29         -admin:可以设置节点访问控制列表权限
30     授权的相关命令:
31         -getAcl:    getAcl [path] 读取acl权限
32         -setAcl:    setAcl [path] [acl] 设置acl权限
33         -addauth:   addauth [scheme] [auth] 添加认证用户
34     案例:
35         -world 授权模式:
36             命令:setAcl [path] world:anyone:[acl]
37         -ip 授权模式:
38             命令:setAcl [path] ip:[ipAddress]:[acl]
39         -auth授权模式:
40             命令:
41                 addauth digest [user]:[password] #添加认证用户
42                 setAcl [path] auth:[user]:[acl]
43         -digest授权模式:
44             命令:
45                 setAcl [path] digest:[user]:[password]:[acl]
46             这里的密码是经过SHA1及BASE64处理的密文,在SHELL中可以通过以下命令计算:
47                 echo -n [user]:[password] | openssl dgst -binary -sha1 | openssl base64
48                 eg:
49                     [gdc@cent701 bin]$ echo -n gdc:Lang..123 | openssl dgst -binary -sha1 | openssl base64
50                     dpWvWLODJkDYlzYvUE1tEbGXA5o= 
51                 其中生成的密文为:dpWvWLODJkDYlzYvUE1tEbGXA5o=
52             演示:
53                 -对节点/hadoop/node2/test1设置acl:
54                 setAcl /hadoop/node2/test1 digest:gdc:dpWvWLODJkDYlzYvUE1tEbGXA5o=:cdrwa
55                 -此时使用get获取节点信息时:get /hadoop/node2/test1:
56                 Authentication is not valid : /hadoop/node2/test1
57                 -添加认证用户:
58                 addauth digest gdc:Lang..123
59                 -添加认证用户后获取节点信息:get /hadoop/node2/test1:
60                 test1111
61                 cZxid = 0x4b
62                 ctime = Thu Jul 16 13:53:03 CST 2020
63                 mZxid = 0x4b
64                 mtime = Thu Jul 16 13:53:03 CST 2020
65                 pZxid = 0x4b
66                 cversion = 0
67                 dataVersion = 0
68                 aclVersion = 1
69                 ephemeralOwner = 0x0
70                 dataLength = 8
71                 numChildren = 0
72                 即可以正常访问
73         -多种模式授权:
74             同一个节点可以同时使用多种模式授权,其中用逗号分开即可:
75             setAcl /node5 ip:192.168.1.1:cdra,auth:gdc:cdrwa,digest:jdc:jiasjefoiaej+=:cdrwa
76     acl超级管理员:
77         -zk的权限管理模式提供一个超管可以方便的访问任何权限的节点,假设这个超管是:super:admin
78         -需要先为超管生成密码的密文:
79             echo -n super:admin | openssl dgst -binary -sha1 | openssl base64
80             生成的密文为:xQJmxLMiHGwaqBvst5y6rkB6HQs=
81         -打开zk目录下的bin/zkServer.sh服务器脚本文件,找到如下一行:
82             nohup "$JAVA" "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}"\
83             -cp "$CLASSPATH" $JVMFLAGS $ZOOMAIN "$ZOOCFG" > "$_ZOO_DAEMON_OUT" 2>&1 < /dev/null &
84         -这是脚本中启动zk的命令,默认只有以上两个配置项,我们需要加一个超管的配置项:
85             "-Dzookeeper.DigestAuthenticationProvider.superDigest=super:xQJmxLMiHGwaqBvst5y6rkB6HQs="
86         -添加后为:(注意添加时在行尾添加,勿回车另起一行,否则服务启动异常)
87             nohup "$JAVA" "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" 
88             "-Dzookeeper.DigestAuthenticationProvider.superDigest=super:xQJmxLMiHGwaqBvst5y6rkB6HQs="\
89              -cp "$CLASSPATH" $JVMFLAGS $ZOOMAIN "$ZOOCFG" > "$_ZOO_DAEMON_OUT" 2>&1 < /dev/null &
90         -重启zk,输入命令添加权限:
91             addauth digest super:admin

 


https://www.xamrdz.com/lan/5xt1939507.html

相关文章: