Access Control在分布式系统中重要性是毋庸置疑的，今天这篇文章来介绍一下Zookeeper中的Access Control(ACL)。

• 1. 概述
  传统的文件系统中，ACL分为两个维度，一个是属组，一个是权限，子目录/文件默认继承父目录的ACL。而在Zookeeper中，node的ACL是没有继承关系的，是独立控制的。Zookeeper的ACL，可以从三个维度来理解：一是scheme; 二是user; 三是permission，通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍：

  （1）scheme: scheme对应于采用哪种方案来进行权限管理，zookeeper实现了一个pluggable的ACL方案，可以通过扩展scheme，来扩展ACL的机制。zookeeper-3.4.4缺省支持下面几种scheme:

  • world: 它下面只有一个id, 叫anyone, world:anyone代表任何人，zookeeper中对所有人有权限的结点就是属于world:anyone的
  • auth: 它不需要id, 只要是通过authentication的user都有权限（zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)
  • digest: 它对应的id为username:BASE64(SHA1(password))，它需要先通过username:password形式的authentication
  • ip: 它对应的id为客户机的IP地址，设置的时候可以设置一个ip段，比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
  • super: 在这种scheme情况下，对应的id拥有超级权限，可以做任何事情(cdrwa)

  阅读全文…

过去的一个月，一直在折腾Hadoop, Hbase, Zookeeper的安全，中间碰到各种坑，在这里做一个简单的总结，希望能够抛砖引玉，与感兴趣的朋友交流一些实践经验。说到安全，这里主要包括两个方面，一个是Authentication，一个是Authorization：

• Authentication要做的事情，是认证用户的身份，即你说你是A用户, Authentication要确保你真的是A，而不是B；
• Authorization要做的是权限控制，就是对A用户只能操作它自己有权限的实体（比如HDFS的文件，Hbase的表），对于他没有权限的他不能操作。

有了Authentication和Authorization，总体上算是比较安全了，基本上不会出现，像A用户误删了B用户的数据的事情。在Hbase/Hadoop/Zookeeper中，Authentication是通过Kerberos是实现的，Authorization有各自的实现，相比而言，Authentication的实现相对复杂一些，里面的坑也比较多，因此本篇文章的大部分篇幅会以Authentication为主。对Kerberos之前没了解的同学，可以看一下这篇文章:[Hadoop Kerberos安全机制介绍][1]，里面介绍Kerberos认证原理的部分讲得比较清楚。下面就我在实践过程中遇到的一些坑做一个总结。

在实践开始之前，先安装好Kerberos服务器，kerberos的安装比较简单，也不是本文要讨论的内容，直接在google搜索，相关的tutorial应该比较多，照着一步步做下来一般都不会有问题，需要注意的就是区分OS发行版，比如Ubuntu和CentOS，会有一些细微的差别。 阅读全文…