工作中用到关于访问控制的知识，在此记录一下，以备后续翻阅。

简单介绍

传统的文件系统中，ACL(Access Control)分为两个维度，一个是属组，一个是权限，子目录/文件默认继承父目录的ACL。而在Zookeeper中，node的ACL是没有继承关系的，是独立控制的。Zookeeper的ACL，可以从三个维度来理解：一是scheme; 二是user; 三是permission(权限)，通常表示为scheme:id:permissions, 下面从这三个方面分别来介绍

Zookeeper提供5中访问控制策略，如下表：

策略

概述

world

它下面只有一个id, 叫anyone, world:anyone代表任何人，zookeeper中对所有人有权限的结点就是属于world:anyone的

auth

 它不需要id, 只要是通过authentication的user都有权限（zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)

digest

它对应的id为username:base64(SHA1(password))，它需要先通过username:password形式的authentication

ip

它对应的id为客户机的IP地址，设置的时候可以设置一个ip段，比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段

super

在这种scheme情况下，对应的id拥有超级权限，可以做任何事情(cdrwa)

另外，zookeeper-3.4.4的代码中还提供了对sasl的支持，不过缺省是没有开启的，需要配置才能启用，具体怎么配置在下文中介绍。

sasl: sasl的对应的id，是一个通过sasl authentication用户的id，zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的，也就是说用户只有通过了kerberos认证，才能访问它有权限的node.

（2）id: id与scheme是紧密相关的，具体的情况在上面介绍scheme的过程都已介绍，这里不再赘述。

（3）permission: zookeeper目前支持下面一些权限：

CREATE(c): 创建权限，可以在在当前node下创建child nodeDELETE(d): 删除权限，可以删除当前的nodeREAD(r): 读权限，可以获取当前node的数据，可以list当前node所有的child nodesWRITE(w): 写权限，可以向当前node写数据ADMIN(a): 管理权限，可以设置当前node的permission

笔记

1.zookeeper中访问控制权限不具有继承性，即每个节点是独立的，不存在父子继承关系；

2.auth与digest的策略却别是一个是明文密码、一个是密文。如下示例：

 auth策略命令组：

        addauth digest root:tlas1031@admin;#用户添加认证用户、登录

        setAcl / auth:root:tlas1031@admin:cdraw;

 digest命令组：

        setAcl / digest:root:{密文}:cdraw

        密文格式：base64(SHA1(password))

参考资料

说说Zookeeper中的ACL - hello嘿嘿嘿！ - 博客园

初识ZooKeeper-ZooKeeper常用命令行操作_software_Dev_的博客-CSDN博客_zookeeper 目录