使用ZooKeeper ACL特性进行znode控制

时间 2020-03-20

标签使用 zookeeper acl 特性进行 znode 控制栏目 Zookeeper 繁體版

原文原文链接

Zookeeper做为配置管理服务，由于配置数据有很高的安全要求，须要有权限控制，客户端须要进行登陆认证才操做（查看数据，修改数据，建立children znode等等）Zookeeper上面对应znode。java

1. 简单的客户端认证zkCli.sh 命令以下：node

[zk: localhost:2181(CONNECTED) 23] ls /tom
Authentication is not valid : /tom

#添加认证以后，便可查看znode /tom
[zk: localhost:2181(CONNECTED) 27] addauth digest tom:tom
[zk: localhost:2181(CONNECTED) 28] ls /tom
[]

2. Zookeeper提供的认证方式apache

Zookeeper对权限的控制是znode级别的，不继承即对父节点设置权限，其子节点不继承父节点的权限。
world：有个单一的ID，anyone，表示任何人。
auth：不使用任何ID，表示任何经过验证的用户（验证是指建立该znode的权限）。
digest：使用用户名：密码字符串生成MD5哈希值做为ACL标识符ID。权限的验证经过直接发送用户名密码字符串的方式完成，
ip：使用客户端主机ip地址做为一个ACL标识符，ACL表达式是以 addr/bits 这种格式表示的。ZK服务器会将addr的前bits位与客户端地址的前bits位来进行匹配验证权限。安全

3. auth认证方式bash

Perm:ALL, Id:("auth","") 即建立者拥有访问权限。服务器

/auth的数据是“auth”, auth认证方式，读写权限。ide

[zk: localhost:2181(CONNECTED) 37] create /auth auth auth::rw
Created /auth

查看/auth的访问控制列表能够看出须要经过digest模式用户名密码是tom/tom认证才能够访问，不对id作限制。编码

[zk: localhost:2181(CONNECTED) 42] getAcl /auth
'digest,'tom:GcSMsIa2MmdW+zdSJKAv8gcnrpI=
: rw

成功的认证：
spa

[zk: localhost:2181(CONNECTED) 0] ls /auth    
Authentication is not valid : /auth
[zk: localhost:2181(CONNECTED) 1] addauth digest tom:tom
[zk: localhost:2181(CONNECTED) 2] ls /auth
[]

失败的认证：命令行

[zk: localhost:2181(CONNECTED) 2] addauth digest supper:admin
[zk: localhost:2181(CONNECTED) 3] ls /auth
Authentication is not valid : /aut

4.经过zkCli.sh 建立znode,并设置ACL

4.1 建立设置ACL的znode

图1 - 用户/密码super/admin建立/supper：

图2-用户/密码tom/tom建立/tom：

图3-查看/supper和/tom的ACL：

4.2 使用以下代码来生成用户名和密码的摘要：

java -cp $ZK_CLASSPATH \
org.apache.zookeeper.server.auth.DigestAuthenticationProvider amy:secret
....
amy:secret->amy:Iq0onHjzb4KyxPAp8YWOIC8zzwY=

注：在启动Zookeeper服务是指定

-Dzookeeper.DigestAuthenticationProvider.superDigest=super:<base64encoded(SHA1(password))

将启用超级用户，经过该supper:密码认证的客户端访问将不受ACL列表限制。

5. 客户端验证

5.1验证supper/admin

ZooKeeper zooKeeper1 = new ZooKeeper("192.168.88.153:2181", 10000, new Watcher() {
    @Override
    public void process(WatchedEvent event) {
        System.out.println(event);
    }
});
//zooKeeper1.addAuthInfo("digest", "supper:admin".getBytes());
Stat stat = new Stat();
byte[] supperData = zooKeeper1.getData("/supper", true, stat);
System.out.println(new String(supperData) + "," + stat);

运行上面代码，读（r）znode "/supper" ：

去掉注释代码，为客户端添加认证信息以后：

0,8589940093,8589940093,1439970090902,1439970090902,0,0,0,0,1,0,8589940093

数据是0，符合4中图1设置的值。

5.2验证tom/tom

ZooKeeper zooKeeper2 = new ZooKeeper("192.168.88.153:2181", 10000, new Watcher() {
    @Override
    public void process(WatchedEvent event) {
        System.out.println(event);
    }
});
zooKeeper2.addAuthInfo("digest", "tom:tom".getBytes());
stat = new Stat();
byte[] tomData = zooKeeper2.getData("/tom", true, stat);
System.out.println(new String(tomData) + "," + stat);

结果似同5.1.

经过zkCli.sh客户端链接,认证和读取

6.使用zkCli.sh 验证acl(点击查看大图)

Zookeeper提供的权限信息表：

权限	描述	setAcl中的简写
write	可以设置znode的值	w
read	可以读取znode的值和列出它的children znode	r
create	可以建立children znode	c
delete	可以删除children znode	d
admin	可以执行setAcl即设置访问控制列表	a
all	全部权限	wrcda

7：注意问题：

7.1 经过zkCli.sh设置acl的格式是scheme:id:perm，perm的写法是简写字母链接，如读写权限rw和Linux的文件系统的权限类似。有些版本多是：READ|WRITE, 因此须要注意命令行提示信息。

7.2 经过zkCli.sh设置acl时，scheme是digest的时候,id须要密文，具体生成参见文4.2

7.3 经过Zookeeper的客户端编码方式添加认证，digest对应的auth数据是明文，参见文5.1

8.Zookeeper认证的扩展

实现AuthenticationProvider接口提供自定义的认证方式。

org.apache.zookeeper.server.auth.AuthenticationProvider

好比自定义实现AuthenticationProvider类是secondriver.MyProvier，能够经过两种方式注册Zookeeper认证体系中去。

第一种：启动Zookeeper服务是经过-Dzookeeper.authPorivder.X=secondriver.MyProvider

第二种：添加到配置文件（zoo.conf）中如：

zookeeper.authProvider.1=secondriver.MyProvider

注:上面X是对authProvider实现提供编号用来区别不一样的authProvider。