ACL

给我写信
GitHub

ZooKeeper

参考
+ 使用ZooKeeper ACL特性进行znode控制
+ ZooKeeper access control using ACLs
+ Setting ACL in ZooKeeper Client
+ SASL Authentication with ZooKeeper
+ What are HBase znodes?

ACL in ZK

ZooKeeper用ACL来控制对znode的访问，这一点类似于UNIX/Linux的文件权限机制，但是znode没有owner的概念 —— ACL指定了一组ID，以及与这些ID相关联的permissions。

针对某个znode，ACL会指定一个ID集合，以及与这些IDs相对应的权限。

ACL只对某一个znode有效，不能自动传递到它的children。

ZK支持pluggable authentication schemes。ID以scheme:id，这里scheme是id对应的authentication scheme。例如，ip:172.16.34.12就是地址为172.16.34.12的主机的ID。

当一个client连接到ZK并且通过authentication之后，ZK会将该client对应的所有ID都与client connection关联起来。当client试图访问znode时，ZK将会检查根据该znode的ACL来检查这些ID。

ACL形如(scheme:expression, perms)，例如，(ip:19.22.0.0/16, READ)将READ权限赋予了所有IP以19.22开头的clients。

ACL Permissions

ZK支持以下权限：

• CREATE： create a child node
• READ： get data from a node and list its children
• WRITE： set data for a node
• DELETE： delete a child node
• ADMIN： set permissions

Builtin ACL Schemes

ZK有以下的内置schemes：

• world has a single id, anyone, that represents anyone.
• auth doesn't use any id, represents any authenticated user.
• digest uses a username:password string to generate MD5 hash which is then used as an ACL ID identity. Authentication is done by sending the username:password in clear text. When used in ACL the expression will be the username:[base64 encoded SHA1 password] digest.
• ip uses the client host IP as an ACL ID identity.
  
  
  

Pluggable Authentication

ZK内置的authentication scheme也使用了pluggable authentication framework。

Authentication framework是怎样工作的？首先看看framework最主要的两个authentication operations:

1. framework首先要验证client的身份：当client去连接一个ZK server时，ZK会验证关于该client的信息，并将其与该connection关联起来；
2. framework会找到与该client对应的ACL entry。ACL entry形如< idspec, permissions >。