内容纲要
概要描述
什么是Zookeeper强认证?
Zookeeper强认证是TDH 6.2.1版本引入的新特性,目的是更加注重集群的安全性,也修复了在漏洞扫描时出现Zookeeper未认证的相关漏洞。
不过,有时开启Zookeeper强认证在某些特定场合可能会带来一些不便。例如在使用zkCli、Kafka创建Topic时会有权限问题。所以TDH也提供了手动的Zookeeper强认证开关方式,用户可以根据自己的需要开启或关闭。
详细说明
手动开启/关闭Zookeeper强认证
- 在Manager主节点服务器中,进入Zookeeper元信息目录。
cd /var/lib/transwarp-manager/master/content/meta/services/ZOOKEEPER
- 根据TDH版本号,进入对应的目录。例如TDH版本为
6.2.1-final
,那就进入transwarp-6.2.1-final
目录。
cd transwarp-6.2.1-final
如果您的版本不是6.2.1-final,就根据您的版本号进入对应的目录。
- 修改配置文件。
vi templates/zookeeper-env.sh.ftl
查找关键词-Dzookeeper.allowSaslFailedClients
。上下文如下所示。
...
<#if service.auth == "kerberos">
export SERVER_JVMFLAGS="$SERVER_JVMFLAGS -Djava.security.auth.login.config=/etc/${service.sid}/conf/jaas.conf -Dzookeeper.allowSaslFailedClients=false"
export KRB_KEYTAB=${service.keytab}
chown zookeeper:zookeeper $KRB_KEYTAB
chown zookeeper:zookeeper /etc/${service.sid}/conf/jaas.conf
chmod 400 $KRB_KEYTAB
cp /etc/${service.sid}/conf/krb5.conf /etc
#if>
...
如果想要开启强认证,则将-Dzookeeper.allowSaslFailedClients=true
改为=false
;
如果想要关闭强认证,则将-Dzookeeper.allowSaslFailedClients=false
改为=true
。
- 在 Manager 节点,执行
/etc/init.d/transwarp-manager restart
重启 Manager 模板文件生效 - 在Manager页面中,进入Zookeeper组件配置服务。
- 在Manager页面中重启Zookeeper组件。