Zookeeper访问控制笔记

工作中用到关于访问控制的知识，在此记录一下，以备后续翻阅。

简单介绍

传统的文件系统中，ACL(Access Control)分为两个维度，一个是属组，一个是权限，子目录/文件默认继承父目录的ACL。而在Zookeeper中，node的ACL是没有继承关系的，是独立控制的。Zookeeper的ACL，可以从三个维度来理解：一是scheme; 二是user; 三是permission(权限)，通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍

Zookeeper提供5中访问控制策略，如下表：

另外，zookeeper-3.4.4的代码中还提供了对sasl的支持，不过缺省是没有开启的，需要配置才能启用，具体怎么配置在下文中介绍。

• sasl: sasl的对应的id，是一个通过sasl authentication用户的id，zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的，也就是说用户只有通过了kerberos认证，才能访问它有权限的node.

（2）id: id与scheme是紧密相关的，具体的情况在上面介绍scheme的过程都已介绍，这里不再赘述。

（3）permission: zookeeper目前支持下面一些权限：

• CREATE(c): 创建权限，可以在在当前node下创建child node
• DELETE(d): 删除权限，可以删除当前的node
• READ(r): 读权限，可以获取当前node的数据，可以list当前node所有的child nodes
• WRITE(w): 写权限，可以向当前node写数据
• ADMIN(a): 管理权限，可以设置当前node的permission

笔记

1.zookeeper中访问控制权限不具有继承性，即每个节点是独立的，不存在父子继承关系；

2.auth与digest的策略却别是一个是明文密码、一个是密文。如下示例：

 auth策略命令组：

        addauth digest root:tlas1031@admin;#用户添加认证用户、登录

        setAcl / auth:root:tlas1031@admin:cdraw;

 digest命令组：

        setAcl / digest:root:{密文}:cdraw

        密文格式：BASE64(SHA1(password))

参考资料

说说Zookeeper中的ACL - hello嘿嘿嘿！ - 博客园

这篇好文章是转载于：学新通技术网