当前位置：首页 > news >正文

zookeeper开启SASL权限认证

news 2025/7/5 16:22:27

一、SASL介绍

二、使用 SASL 进行身份验证

2.1 服务器到服务器的身份验证

2.2 客户端到服务器身份验证

三、验证功能

一、SASL介绍

默认情况下，ZooKeeper 不使用任何形式的身份验证并允许匿名连接。但是，它支持 Java 身份验证与授权服务(JAAS)，可用于使用简单身份验证和安全层(SASL)设置身份验证。zookeeper 支持使用带有本地存储的凭证的 DIGEST-MD5 SASL 机制进行身份验证。

SASL是一种用来扩充C/S模式验证能力的机制认证机制, 全称Simple Authentication and Security Layer。

二、使用 SASL 进行身份验证

JAAS 使用单独的配置文件进行配置。建议将 JAAS 配置文件放在与 ZooKeeper 配置相同的目录中(/zookeeper/conf/)。如文件名是 jaas.conf。ZooKeeper 是集群部署时，必须在所有节点上创建 JAAS 配置文件。

SASL 身份验证是单独配置的，用于服务器对服务器通信（ ZooKeeper 实例之间的通信）和客户端对服务器通信（客户端和 ZooKeeper 之间的通信）。服务器对服务器身份验证仅与具有多个节点的 ZooKeeper 集群相关。

2.1 服务器到服务器的身份验证

对于服务器到服务器身份验证，JAAS 配置文件包含两个部分：

服务器配置
客户端配置

使用 DIGEST-MD5 SASL 机制时，QuorumServer 上下文用于配置身份验证服务器。它必须包含允许所有用户名，以便其以未加密的形式与其密码连接。第二个上下文 QuorumLearner 必须为内置在 ZooKeeper 中的客户端配置。它还包含未加密格式的密码。以下是 DIGEST-MD5 机制的 JAAS 配置文件示例：

QuorumServer {org.apache.zookeeper.server.auth.DigestLoginModule requireduser_zookeeper="123456";
};QuorumLearner {org.apache.zookeeper.server.auth.DigestLoginModule requiredusername="zookeeper"password="123456";
};

除了 JAAS 配置文件外，还必须通过指定以下选项在 ZooKeeper 的配置文件中启用服务器到服务器身份验证：

quorum.auth.enableSasl=true
quorum.auth.learnerRequireSasl=true
quorum.auth.serverRequireSasl=true
quorum.auth.learner.loginContext=QuorumLearner
quorum.auth.server.loginContext=QuorumServer
quorum.cnxn.threads.size=20# 客户端到服务器身份验证
requireClientAuthScheme=sasl
# authProvider.myId=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
# authProvider.2=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
# authProvider.3=org.apache.zookeeper.server.auth.SASLAuthenticationProvider

然后，通过系统环境变量设置jaas.conf的路径

"-Djava.security.auth.login.config=/opt/kafka/config/jaas.conf"

2.2 客户端到服务器身份验证

客户端到服务器身份验证在与服务器到服务器身份验证相同的 JAAS 文件中配置。

将服务器上下文添加到 JAAS 配置文件，以配置客户端到服务器的身份验证。对于 DIGEST-MD5 机制，它会配置所有用户名和密码：

QuorumServer {org.apache.zookeeper.server.auth.DigestLoginModule requireduser_zookeeper="123456";
};QuorumLearner {org.apache.zookeeper.server.auth.DigestLoginModule requiredusername="zookeeper"password="1234567";
};Server {org.apache.zookeeper.server.auth.DigestLoginModule requireduser_test="123456";
};Client {org.apache.zookeeper.server.auth.DigestLoginModule requiredusername="test"password="123456";
};

同时，zookeeper的配置文件中需要添加如下配置：

# 客户端连接是否必须进行SASL认证
sessionRequireClientSASLAuth=true

三、验证功能

1、启动zk集群，zk集群可正常选举

2、编写客户端demo

System.setProperty("java.security.auth.login.config", "E:\\study\\apache-zookeeper-3.8.4-bin\\conf\\jaas.conf");System.out.println("********************** start zk ********************** ");CountDownLatch countDownLatch = new CountDownLatch(1);ZooKeeperAdmin zooKeeper = new ZooKeeperAdmin("127.0.0.1:2181", 5000, event -> {System.out.println("触发了事件：" + event.getState());countDownLatch.countDown();});Stat existsName = zooKeeper.exists("/age", watchedEvent -> System.out.println("--" + watchedEvent.getState()));if (existsName == null) {zooKeeper.create("/age", "18".getBytes(), ZooDefs.Ids.OPEN_ACL_UNSAFE, CreateMode.PERSISTENT);} else {byte[] data = zooKeeper.getData("/name", false, null);System.out.println("--->" + new String(data));}String srvr = FourLetterWordMain.send4LetterWord("127.0.0.1", 2181, "srvr", false);System.out.println(srvr);

zookeeper开启SASL权限认证

一、SASL介绍

二、使用 SASL 进行身份验证

2.1 服务器到服务器的身份验证

2.2 客户端到服务器身份验证

三、验证功能

相关文章：

zookeeper开启SASL权限认证

mysql一个小问题引发的思考-mysql类型转换-查询缓存及 MYSQL查询缓存以及自动选择不使用查询缓存的情况

css更改图片颜色

通过POST请求往Elastic批量插入数据

JAW：一款针对客户端JavaScript的图形化安全分析框架

错误解决 error CS0117: ‘Buffer‘ does not contain a definition for ‘BlockCopy‘

ICMPv6与DHCPv6之网络工程师软考中级

【HTML — 构建网络】HTML 入门

javafx的ListView代入项目的使用

基于ABAP OLE技术实现对服务器文件进行读写操作

求教Postgresql在jdbc处理bit(1)字段的预处理解决方案

微信小程序-自定义tabBar

vue3+element-plus 实现动态菜单和动态路由的渲染

GO-学习-03-基本数据类型

高并发场景下，系统的保护机制

服务器构建私有npm库（Docker + Verdaccio)

LabVIEW做二次开发时应该注意哪些方面？

docker配置上网代理获取镜像

SqlSugar删除没有定义主键的实体类对应的数据库表数据

虚拟机复制后网络不可用，报错“network.service - LSB: Bring up/down networking”

K8S认证|CKS题库+答案| 11. AppArmor

MySQL 隔离级别：脏读、幻读及不可重复读的原理与示例

【JVM】- 内存结构

汽车生产虚拟实训中的技能提升与生产优化

Linux-07 ubuntu 的 chrome 启动不了

pikachu靶场通关笔记22-1 SQL注入05-1-insert注入(报错法)

算法岗面试经验分享-大模型篇

Java编程之桥接模式

day36-多路IO复用

破解路内监管盲区：免布线低位视频桩重塑停车管理新标准