概要描述

什么是Zookeeper强认证？

Zookeeper强认证是TDH 6.2.1版本引入的新特性，目的是更加注重集群的安全性，也修复了在漏洞扫描时出现Zookeeper未认证的相关漏洞。

不过，有时开启Zookeeper强认证在某些特定场合可能会带来一些不便。例如在使用zkCli、Kafka创建Topic时会有权限问题。所以TDH也提供了手动的Zookeeper强认证开关方式，用户可以根据自己的需要开启或关闭。

详细说明

手动开启/关闭Zookeeper强认证

• 在Manager主节点服务器中，进入Zookeeper元信息目录。

cd /var/lib/transwarp-manager/master/content/meta/services/ZOOKEEPER

• 根据TDH版本号，进入对应的目录。例如TDH版本为6.2.1-final，那就进入transwarp-6.2.1-final目录。

cd transwarp-6.2.1-final

如果您的版本不是6.2.1-final，就根据您的版本号进入对应的目录。

• 修改配置文件。

vi templates/zookeeper-env.sh.ftl

查找关键词-Dzookeeper.allowSaslFailedClients。上下文如下所示。

...
<#if service.auth == "kerberos">
export SERVER_JVMFLAGS="$SERVER_JVMFLAGS -Djava.security.auth.login.config=/etc/${service.sid}/conf/jaas.conf  -Dzookeeper.allowSaslFailedClients=false"
export KRB_KEYTAB=${service.keytab}
chown zookeeper:zookeeper $KRB_KEYTAB
chown zookeeper:zookeeper /etc/${service.sid}/conf/jaas.conf
chmod 400 $KRB_KEYTAB
cp /etc/${service.sid}/conf/krb5.conf /etc

...

如果想要开启强认证，则将-Dzookeeper.allowSaslFailedClients=true改为=false；
如果想要关闭强认证，则将-Dzookeeper.allowSaslFailedClients=false改为=true。

• 在 Manager 节点，执行 /etc/init.d/transwarp-manager restart 重启 Manager 模板文件生效
• 在Manager页面中，进入Zookeeper组件配置服务。
• 在Manager页面中重启Zookeeper组件。