Zookeeper提供了一套完善的ACL(Access Control List)权限控制机制来保障数据的安全。
Zookeeper的ACL权限控制和Unix/Linux操作系统中的ACL有一些区别,可以从三个方面来理解ACL机制,分别是:权限模式(Scheme)、授权对象(ID)和权限(Permission)、通常使用“scheme:id:permission”来标识一个有效的ACL信息。
权限模式:Scheme
权限模式用来确定权限验证过程中使用的检验策略。在Zookeeper中,开发人员使用最多的就是以下四种权限模式:
IP
IP模式通过IP地址粒度来进行权限控制,例如配置了“ip:192.168.0.110”,即表示权限控制都是针对这个IP地址的。同时,IP模式也支持按照网段的方式进行配置,例如“ip:192.168.0.1/24”表示针对192.168.0.*这个IP段进行权限控制。
Digest
Digest是最常用的权限控制模式,也更符合我们对于权限控制的认识,其以类似于“username:password”形式的权限标识来进行权限配置,便于区分不同应用来进行权限控制。当我们通过“username:password”形式配置了权限标识后,Zookeeper会对其先后进行两次编码处理,分别是SHA-1算法加密和BASE64编码,其具体实现由DigestAuthenticationProvider.generateDigest(String idPassword)函数进行封装。
World
World是一种最开放的权限控制模式,从其名字中也可以看出,事实上这种权限控制方式几乎没有任何作用,数据节点的访问权限对所有用户开放,即所有用户都可以在不进行任何权限校验的情况下操作ZooKeeper上的数据。另外,World模式也可以看作是一种特殊的Digest模式,它只有一个权限标识,即“world:anyone”。
Super
Super模式,顾名思义就是超级用户的意思,也是一种特殊的Digest模式。在Super模式下,超级用户可以对任意ZooKeeper上的数据节点进行任何操作。
授权对象:ID
授权对象指的是权限赋予的用户或一个指定实体,例如IP地址或是机器等。在不同的权限模式下,授权对象是不同的。
IP 通常是一个IP地址或是IP段,例如“192.168.0.110” 或 “192.168.0.1/24”
Digest 自定义,通常是“username:BASE64(SHA-1(password))”,例如 “foo:kWN6aNSbjcKWPqjiV7cg0N24raU=”
World 只有一个ID:"anyone"
Super 与Digest模式一致
权限: Permission
权限就是指那些通过权限检查后可以被允许执行的操作。在ZooKeeper中,所有对数据的操作权限分为以下五大类:
CREATE(C)
DELETE(D)
READ(R)
WRITE(W)
ADMIN(A)
设置ACL
1、通过zkCli脚本登录ZooKeeper服务器后,可以通过两种方式进行ACL的设置。一种是在数据节点创建的同时进行ACL权限的设置,命令格式如下:
create [-s] [-e] path data acl
清单:
create -e /zk-book init digest:foo:ayaR385TXr8czBg0+7glQfl3TvQ=:cdrwa
2、另一种方式则是使用setAcl命令单独对已经存在的数据节点进行ACL设置:
setAcl path acl
清单:
setAcl /zk-book digest:foo:ayaR385TXr8czBg0+7glQfl3TvQ=:cdrwa
注意:子目录不继承父目录acl权限。举例:新建zk-book下子目录/zk-book/test,该子目录/zk-book/test的权限默认为:'world':anyone:cdrwa,而不是默认继承父目录权限。
配置zkCli客户端权限
当设置一个目录权限后,zkCli在不配置权限下也无法访问该目录,可使用如下命令配置权限:
addauth digest foo:123456