Zookeeper的ACL权限控制-白红宇

Zookeeper的ACL权限控制

阅读量：6935 次

发布时间：2019-06-27

本文共 2306 字，大约阅读时间需要 7 分钟。

权限测试

创建目录

[zk: localhost:2181(CONNECTED) 1] create /dlw "dlw"Created /dlw

检查目录权限

[zk: localhost:2181(CONNECTED) 3] getAcl /dlw'world,'anyone: cdrwa

修改目录ACL权限，表示为/dlw目录添加accumulo用户，密码的MD5哈希码为SkvnZlrIQ19GNd7eLDXGKg0Esgw=，r表示只读

[zk: localhost:2181(CONNECTED) 5] setAcl /dlw digest:accumulo:SkvnZlrIQ19GNd7eLDXGKg0Esgw=:rcZxid = 0x30000003fctime = Mon Feb 05 16:47:14 CHOT 2018mZxid = 0x30000003fmtime = Mon Feb 05 16:47:14 CHOT 2018pZxid = 0x30000003fcversion = 0dataVersion = 0aclVersion = 1ephemeralOwner = 0x0dataLength = 5numChildren = 0

再检查目录权限

[zk: localhost:2181(CONNECTED) 6] getAcl /dlw'digest,'accumulo:SkvnZlrIQ19GNd7eLDXGKg0Esgw=: r

发现此时该目录已经因为权限不足无法访问

[zk: localhost:2181(CONNECTED) 7] ls /dlwAuthentication is not valid : /dlw

突然发现虽然知道accumulo用户密码的MD5值，但是并不知道密码是多少，然后对/dlw目录就无法访问了

这时可以使用zookeeper的acl超级管理员进行操作

Zookeeper的ACL超级管理员

修改zookeeper的启动脚本

$ cd $ZOOKEEPER_HOME/bin$ vi zkServer.sh

添加一行

SUPER_ACL="-Dzookeeper.DigestAuthenticationProvider.superDigest=super:xQJmxLMiHGwaqBvst5y6rkB6HQs="super:xQJmxLMiHGwaqBvst5y6rkB6HQs=表示super:admin

修改启动命令，找到nohup，把SUPER_ACL添加到启动命令中

nohup $JAVA $ZOO_DATADIR_AUTOCREATE "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" \    "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" "${SUPER_ACL}" \    -cp "$CLASSPATH" $JVMFLAGS $ZOOMAIN "$ZOOCFG" > "$_ZOO_DAEMON_OUT" 2>&1 < /dev/null &

分发zkServer.sh到其它zookeeper节点，重启zookeeper服务

再登录zkCli.sh，连接超级管理员super，就可以对/dlw进行操作

[zk: localhost:2181(CONNECTED) 14] addauth digest super:admin[zk: localhost:2181(CONNECTED) 15] ls /dlw[]

把/dlw目录的Acl修改为初始默认的

[zk: localhost:2181(CONNECTED) 23] setAcl /dlw world:anyone:crwdacZxid = 0x30000003fctime = Mon Feb 05 16:47:14 CHOT 2018mZxid = 0x30000003fmtime = Mon Feb 05 16:47:14 CHOT 2018pZxid = 0x30000003fcversion = 0dataVersion = 0aclVersion = 2ephemeralOwner = 0x0dataLength = 5numChildren = 0[zk: localhost:2181(CONNECTED) 24] getAcl /dlw'world,'anyone: cdrwa