Zookeeper权限控制

Zookeeper权限控制

43 2019-01-16 16:24:58

###Zookeeper权限分类
Zookeeper ACL（Access Control List）一共分为5种权限：

| 权限  | ACL简写  | 描述  |
| ------------ | ------------ | ------------ |
| ADMIN  | a  | 设置节点ACL |
| DELETE  | d  | 注意，是删除子节点  |
| CREATE  | c  | 创建节点  |
| WRITE  | w  | 写节点数据  |
| READ  | r  | 读节点数据或子节点  |

与Linux权限类似，5个权限可以使用int型数字perms的5个二进制位表示，顺序为adcwr，如perms=5对应权限--cwr，perms=31对应权限adcwr。
一般在命令行设置权限时会使用ACL简写，在API调用时会使用perms数字表示权限。
###Zookeeper权限验证
Zookeeper权限验证方式（scheme）如下：

| 方式  | 描述  |
| ------------ | ------------ |
| world  | 所有人都有权限，默认用户anyone，即没有权限控制 |
| auth  | 验证过的用户，不再验证 |
| ip  | 根据ip验证 |
| digest  | 使用用户名、密码进行验证，digest密码生成方式：明文密码进行Sha1哈希后再进行Base64编码 |

Zookeeper的默认权限为`world: anyone :adcwr`，即任何人拥有所有权限，如果将Zookeeper服务暴露给外网，不进行权限修改非常危险的。
###Zookeeper权限设置说明
- 请注意，Zookeeper节点权限是不继承的，也就是说需要对每个新创建的节点进行权限设置，否则会使用默认权限，可能会出现父节点无权限，但子节点有权限的情况。

命令行设置权限的格式：`setAcl {path} {scheme}:{id}:{auth},{scheme}:{id}:{auth}...`可以用逗号分隔
1. `path`：节点路径
2. `scheme`：权限验证方式
3. `id`：使用auth验证时，形式为“用户名:密码”，如`tomcat:apache`；使用ip验证时，形式为“ip/mask”如`172.2.0.0/24`，务必同时给`127.0.0.1`加一个权限，否则本机都无法操作了
4. `auth`：权限，对应ACL简写，如rwd等

###命令行设置权限过程
```shell
# 登录cli
bin/zkCli.sh -server 127.0.0.1:2181

# 如果使用auth验证，必须先给当前连接加上权限，否则后续操作会因为没权限而失败！
# 格式为addauth digest {username}:{password}
addauth digest tomcat:apache

# 给节点设置权限，注意auth验证时需要使用上边digest验证的用户名:密码明文
# 格式为setAcl {path} {scheme}:{id}:{auth}
setAcl /test auth:tomcat:apache:adcwr
# 验证一下是否设置成功
getAcl /test
```
好了，现在每个节点只有拥有对应权限的连接能够进行对应操作了。

###忘记密码或出现权限设置错误的情况
可以修改配置文件，跳过ACL检查，把权限设置正确后再打开ACL检查
```shell
# 打开配置文件
vim conf/zoo.cfg
# 写入跳过ACL
skipACL=yes
# 重启Zookeeper服务
bin/zkServer.sh restart
```