CN108289098A - 分布式文件***的权限管理方法和装置、服务器、介质 - Google Patents
分布式文件***的权限管理方法和装置、服务器、介质 Download PDFInfo
- Publication number
- CN108289098A CN108289098A CN201810031104.7A CN201810031104A CN108289098A CN 108289098 A CN108289098 A CN 108289098A CN 201810031104 A CN201810031104 A CN 201810031104A CN 108289098 A CN108289098 A CN 108289098A
- Authority
- CN
- China
- Prior art keywords
- user
- access request
- file system
- distributed file
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种分布式文件***的权限管理方法和装置、服务器、介质,其中该方法包括:响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址;如果访问请求是来自于入口机服务器,则将获取的用户名和IP地址与预先获取的允许用户集进行匹配,根据匹配结果确定是否允许访问请求,其中,允许用户集是由用户预先通过分布式文件***的Web服务配置的允许用户集。本发明实施例无需设置防火墙,解决了现有技术中分布式文件***的访问权限管理中存在安全漏洞,容易出现非合法用户进行非法操作的问题,提高了分布式文件***访问和存储数据的安全性。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种分布式文件***的权限管理方法和装置、服务器、介质。
背景技术
Hadoop分布式文件***(Hadoop Distributed File System,HDFS)是Hadoop提供的一种分布式文件***。由于HDFS具有高容错性、流式访问、适合批处理/大数据处理以及可构建在廉价机器上等诸多有点,在图像处理、基础架构管理和电子商务等多个领域都有广泛的应用。
HDFS主要包括NameNode(名称节点)和DataNode(数据节点)两个组件。其中,NameNode作为主节点负责管理元数据,包括目录结构、权限信息和文件分块存储信息等,DataNode作为从节点负责具体数据块的存储。NameNode是HDFS的管理者,任何读取文件的操作必须通过它。具体的,NameNode对外有三个接口,分别是远程过程调用(RemoteProcedure Call,RPC)协议接口、超文件传输协议(Hyper File Transfer Protocol,HFTP)接口和分布式文件***(Web Hadoop Distributed File System,WebHDFS)协议接口,用户可以通过上述三个接口中的任一接口访问HDFS。
目前,Hadoop平台的客户端程序默认从当前服务器的环境变量中读取HADOOP_USER_NAME作为用户名,如果HADOOP_USER_NAME为空,则获取当前操作***用户作为Hadoop的用户,允许其访问HDFS。这就造成了仅需在客户端修改HADOOP_USER_NAME环境变量就可伪造用户进行非法操作的问题。因此,现有技术通常是使用防火墙技术限制RPC协议接口的访问,以提高访问安全性。但是,使用防火墙技术提高访问安全性的方法对于HDFS来说,仍然至少存在如下问题:
1)对于RPC协议接口来说,即使是增加了防火墙,但防火墙只能检测入口机是否合法,却无法对入口机的使用用户是否合法进行检测,因此,仍然会造成不法用户仿冒合法用户进行非法操作的问题。
2)由于HFTP和WebHDFS协议接口是不能添加防火墙的,这样就会造成不法用户仍然可以通过HFTP和WebHDFS协议接口访问。
发明内容
本发明实施例提供一种分布式文件***的权限管理方法和装置、服务器、介质,以提高分布式文件***访问和存储数据的安全性。
第一方面,本发明实施例提供了一种分布式文件***的权限管理方法,该方法包括:
响应于对分布式文件***的访问请求,获取与所述访问请求对应的用户名和IP地址;
如果所述访问请求是来自于入口机服务器,则将所述用户名和IP地址与预先获取的允许用户集进行匹配,根据匹配结果确定是否允许所述访问请求,其中,所述允许用户集是由用户预先通过所述分布式文件***的Web服务配置的允许用户集。
第二方面,本发明实施例还提供了一种分布式文件***的权限管理装置,该装置包括:
访问请求模块,用于响应于对分布式文件***的访问请求,获取与所述访问请求对应的用户名和IP地址;
访问验证模块,用于如果所述访问请求是来自于入口机服务器,则将所述用户名和IP地址与预先获取的允许用户集进行匹配,根据匹配结果确定是否允许所述访问请求,其中,所述允许用户集是由用户预先通过所述分布式文件***的Web服务配置的允许用户集。
第三方面,本发明实施例还提供了一种服务器,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任一实施例所述的分布式文件***的权限管理方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任一实施例所述的分布式文件***的权限管理方法。
本发明实施例通过响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址,在利用Web服务预先配置的允许用户集中进行匹配,然后根据匹配结果确定是否允许访问请求,无需设置防火墙,解决了现有技术中分布式文件***的访问权限管理中存在安全漏洞,容易出现非合法用户进行非法操作的问题,提高了分布式文件***访问和存储数据的安全性。
附图说明
图1是本发明实施例一提供的分布式文件***的权限管理方法的流程图;
图2是本发明实施例二提供的分布式文件***的权限管理方法的流程图;
图3是本发明实施例三提供的分布式文件***的权限管理方法的流程图;
图4是本发明实施例四提供的分布式文件***的权限管理装置的结构示意图;
图5是本发明实施例五提供的一种服务器的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1是本发明实施例一提供的分布式文件***的权限管理方法的流程图,本实施例可适用于对分布式文件***的权限进行管理的情况,该方法可以由分布式文件***的权限管理装置来执行,该装置可以采用软件和/或硬件的方式实现,并可集成在服务器中。如图1所示,该方法具体包括:
S110、响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址。
NameNode作为主节点负责管理元数据,元数据主要包括目录结构、权限信息和文件分块存储信息,而DataNode作为从节点,负责具体数据块的存储。示例性地,目录结构包括目录下的子目录和文件;权限信息包括目录或文件的所有者、同组的用户及其他用户的读、写、进入权限;文件分块存储信息包括文件分成几个数据块,以及数据块存储在哪些服务器上。由于NameNode是整个文件***的管理者,任何读取文件的操作必须通过它。当用户登录服务器访问NameNode时,分布式文件***的权限管理装置会响应用户的访问请求,获取用户登录使用的用户名和服务器的IP地址。IP地址可以进一步增强访问数据文件的安全性。
根据权限管理,用户分为三类:管理员用户、业务负责人和普通用户。管理员用户可以添加业务组和该业务组的业务负责人,创建对应的数据库和目录,并把对应目录的所有者(owner)赋给该组。业务负责人根据需要修改自己目录的权限,例如不允许其他用户读取某数据库的数据、添加自己组的用户和添加自己组的入口机服务器等。
S120、如果访问请求是来自于入口机服务器,则将获取的用户名和IP地址与预先获取的允许用户集进行匹配,根据匹配结果确定是否允许访问请求,其中,允许用户集是由用户预先通过分布式文件***的Web服务配置的允许用户集。
入口机服务器是用户访问数据和提交分布式程序的服务器,所以需要对使用入口机服务器的用户进行控制。当访问请求到达NameNode时,分布式文件***的权限管理装置会验证这台入口机服务器的用户是否有访问权限,如果该用户是冒充其他用户的非合法用户,直接抛出存取权限异常。
具体地,HDFS有一个配置项dfs.namenode.inode.attributes.provider.class,这个配置项可以利用getExternalAccessControlEnforcer的方法来获取外部存取控制器,将获取的用户名和IP地址与预先获取的允许用户集进行匹配,即实现对用户的外部访问控制的第一重权限认证过程,如果用户名和IP地址均匹配成功,则表示外部访问控制的权限认证通过。需要说明的是,如果IP地址不在允许用户集中,例如,某业务组现在有一台入口机,然后感觉不够用,直接把入口机所需的程序拷贝到另一个新的入口机上运行,而由于新的入口机的ip地址还没有添加到允许用户集中,因此可以不再进行用户名的匹配,直接拒绝本次访问请求。根据匹配结果再次确定是否允许用户的访问请求,即实现对用户的内部访问控制的第二重权限认证过程,具体地,如果对用户的外部访问控制的权限认证通过,继续对用户的普通文件权限进行认证。
允许用户集是由用户预先通过分布式文件***的Web服务配置的允许用户集,其中包括允许访问的用户名集合和IP地址集合。相比于现有技术中通过对HDFS的主节点对外的协议接口设置防火墙来提高分布式文件***访问的安全性而言,利用Web服务配置允许用户集,有如下优点:
1)可以解决用户访问入口不统一问题。现有技术中,只对RPC协议接口加防火墙,而HFTP协议接口和WebHDFS协议接口由于和NameNode的Web服务是同一个接口,所以不能添加防火墙。使用防火墙技术限制RPC接口的访问,给集群一个边界,用户访问集群必须通过有权限的入口机服务器,而其他的服务器不能通过RPC协议接口访问集群。但用户可以操作入口机服务器,仿冒任何用户通过HFTP和WebHDFS协议接口来读取数据。这就造成了用户在同一台服务器上访问不统一的问题,通过一些协议可以访问到数据,而其他协议不行。而本发明实施例中无需添加防火墙,因此不会造成用户访问入口不统一的问题,继而避免了不法用户仿冒任何合法用户通过HFTP和WebHDFS协议接口来读取数据的问题。
此外,现有技术中为防止用户在允许RPC协议访问NameNode的入口机服务器上创建其他用户进行非法集群操作,对入口机服务器的root密码进行回收,把这个入口机服务器放到防火墙白名单里。但是有些业务是线上的服务产生的日志,需要利用Flume等软件把日志上传到Hadoop上,收回root密码,便会造成用户运维自己的服务器时出现困难。如果用户预先把数据拷贝到分配的入口机服务器中,又会增加数据的多一次中转成本。这最终导致用户使用集群不方便。而本发明实施例中由于无需添加防火墙,自然避免了上述问题,不会造成用户使用集群不方便。
2)可以弥补防火墙无法识别登录入口机服务器的用户的缺陷,可以避免用户通过设置环境变量HADOOP_USER_NAME,仿冒其他用户操作集群而造成数据泄露和丢失的风险。假如,某一业务组下有两个用户账号:张三和李四,即该业务组的业务负责人在添加入口机时添加了这两个账号。那么,如果张三在访问hadoop之前,通过修改环境变量把用户改成了search,以读取search的私有文件。这时传递到Namenode的用户名是search。权限认证时,先根据IP地址找到对应的用户列表,包括张三和李四,匹配后发现并不包含search,这时抛出异常,阻止张三进行本次访问。
本实施例中利用Web服务配置允许用户集,不需要额外设置防火墙,也不需要回收root密码,通过访问用户的用户名和IP地址与允许用户集的匹配,可以实现有效的外部访问控制,避免了仿冒的非合法用户的访问请求,也可以方便用户的集群访问。
可选地,用户名包括超级账号的用户名和非超级账号的用户名。
Hadoop的超级账号,即启动Hadoop服务的用户,具有所有权限。现有技术中,用户登录超级账号操作文件***时不会进行权限认证,即Hadoop权限检查程序遇到超级账号访问时,会跳过外部检查程序。而本实例技术方案中可以设置一个开关配置,用于设置超级账号是否跳过外部检查程序。当设置成false时,对于超级账号访问也会运行外部检查程序,即对超级账号同样进行用户名和IP地址与允许用户集的匹配。如果匹配成功,判断超级账号是否进行普通文件权限检查。当超级账号需要执行文件权限检查时,对文件进行操作会变成普通用户,不能删除其他用户的文件,不能读取其他用户设置的文件权限对其他用户为0的文件,只具有集群维护的功能。通过开关配置,无论是超级账号还是非超级账号,均需要进行外部访问控制的权限认证和内部访问控制的权限认证,这样可以避免仿冒超级账号进行数据访问,防止数据泄露,避免因超级账号可以读取和删除所有数据而引起的无法恢复的重大事故。
本实施例的技术方案通过响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址,在利用Web服务预先配置的允许用户集中进行匹配,然后根据匹配结果确定是否允许访问请求,无需设置防火墙,解决了现有技术中分布式文件***的访问权限管理中存在安全漏洞,容易出现非合法用户进行非法操作的问题,提高了分布式文件***访问和存储数据的安全性,而且对超级账号也能实现权限的控制,避免集群出现无法恢复的重大事故。
实施例二
图2是本发明实施例二提供的分布式文件***的权限管理方法的流程图,本实施例是在上述实施例的基础上进一步进行优化。如图2所示,该方法具体包括:
S210、响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址。
S220、如果访问请求是来自于入口机服务器,则将获取的用户名和IP地址与预先获取的允许用户集进行匹配。
S230、如果用户名和IP地址与允许用户集相匹配,则根据访问请求对应的用户名进行读写权限检查,其中,允许用户集中包括至少一个入口机服务器中各入口机服务器的IP地址和对应的至少一个允许用户名。
分布式文件***中业务负责人只能添加自己业务组的用户,不能添加其他用户组的用户。示例性地,业务负责人添加入口机服务器的流程如下:
(1)Web界面添加入口机信息,输入入口机服务器的主机名、IP地址、以及这台入口机服务器上允许哪些用户访问。NameNode的服务器会把此入口机服务器和允许访问的用户添加到NameNode的外部访问控制***中。同时把入口机服务器放到入口机列表,以便升级Hadoop程序和更新集群参数时使用。
(2)Web界面下载入口机服务器安装程序并用root账号执行。示例性地,安装入口机服务器需要执行以下操作:1)创建安装用户的Hadoop账号。2)创建目录/usr/local/platform,并把此目录的owner分配给此用户。3)把分发入口机服务器Hadoop账号的公共私钥放到authorized_keys文件中,以后分发Hadoop程序和配置只用Hadoop账号。4)从Web服务器上下载Hadoop安装程序到本机并解压程序。5)设置/usr/local/platform/hadoop链接到解压目录。6)设置HADOOP_HOME,PATH等环境变量到/etc/profile,使此入口机服务器的用户都能执行Hadoop命令。
(3)业务负责人在入口机服务器上创建已在Web上创建的用户账号,包括用户名和登陆密码。由于此入口机服务器平台组没有root权限,所以需要业务负责人自己创建。
按照上述操作,业务负责人可以在自己的业务组添加至少一个入口机服务器以及各入口机服务器对应的至少一个允许用户,于是,各入口机服务器的IP地址和对应的至少一个允许用户名就构成所述允许用户集。如果访问请求是来自于入口机服务器,并且用户名和IP地址与允许用户集相匹配,则表示通过外部访问控制的第一重权限认证过程,并进一步通过对访问请求的读写权限检查实现对用户进行内部访问控制的第二重权限认证过程,即实现用户的普通文件权限认证。
需要说明的是,Hadoop文件***的普通权限,是类似可移植操作***接口(Portable Operating System Interface of UNIX,POSIX)的权限和访问控制列表(Access Control List,ACL)添加例外。POSIX将文件和目录的权限分为文件拥有者、同组用户和其他三个部分。每个部分的权限包括读、写、执行三种,每种权限用一位二进制表示,例如二进制1表示有权限、0表示没有权限。示例性的,一个文件的权限为750,具体的,7转换成二进制为111,表示文件拥有者对文件可以有读、写、执行三种权限;5转换成二进制为101,表示同组用户对文件只有读和执行两种权限,没有写权限;0转换成二进制为000,表示其他用户对文件没有任何权限。现在如果其他的一个用户需要读取该文件,则可以用ACL添加例外,ACL可以为一个用户添加例外,也可以为组添加例外,可以添加读例外,也可以添加读写例外。
S240、允许访问请求执行与其读写权限检查的结果相符的操作。
当用户对文件的读写权限认证通过后,用户便可对文件进行相应的权限操作。
本实施例的技术方案通过响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址,在允许用户集中匹配成功后,则根据访问请求对应的用户名进行访问用户的读写权限检查,实现了对用户的外部访问控制和内部访问控制的双重权限认证过程,无需设置防火墙,解决了现有技术中分布式文件***的访问权限管理中存在安全漏洞,容易出现非合法用户进行非法操作的问题,提高了分布式文件***访问和存储数据的安全性,实现了对分布式文件***的权限的有效管理。
实施例三
图3是本发明实施例三提供的分布式文件***的权限管理方法的流程图,本实施例是在上述实施例的基础上进一步进行优化。如图3所示,该方法具体包括:
S310、响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址。
S320、如果访问请求是来自于入口机服务器,则将获取的用户名和IP地址与预先获取的允许用户集进行匹配,根据匹配结果确定是否允许访问请求,其中,允许用户集是由用户预先通过分布式文件***的Web服务配置的允许用户集。
可选地,允许用户集的获取操作包括:
按照预设周期获取并更新允许用户集,具体包括:
按照预设周期获取上一次更新允许用户集的时刻,并将该上一次更新时刻发送至Web服务,以便Web服务根据上一次更新时刻判断当前时刻允许用户集是否有更新;
若Web服务的返回结果为允许用户集有更新,则从Web服务获取更新后的允许用户集。
示例性地,在按照预设周期获取并更新允许用户集的过程中,分布式文件***的权限管理装置调用定时加载配置器程序定时执行配置的读取和解析模块,例如预设周期可以设置为30秒。为了减少***开销,如果上次读取配置后,没有添加用户或入口机服务器,也没有修改现在入口机服务器的用户,则不用重复加载。定时加载程序保留了配置的最后加载时间,先调用配置提供者(指Web服务)的hasUpdate方法,用配置的最后加载时间作为参数。如果从最后加载时间之后没有更新,则返回false,只有返回true时才调用配置提供者的reload方法来重新加载。Reload方法如果被调用,则返回所有入口机服务器的允许用户集的映射。
配置提供者可以有多种,例如,可以基于文件、Restful调用或数据库等执行配置提供者提供的配置文件中的配置。配置提供者都需要提供hasUpdate方法和reload方法。
S330、如果访问请求是来自于分布式文件***的节点管理服务器,则根据访问请求对应的用户名进行读写权限检查,并允许访问请求执行与其读写权限检查的结果相符的操作。
访问NameNode的服务器,除了入口机服务器之外,还有节点管理服务器(NodeManager)。由于NodeManager上运行所有用户提交的分布式程序,并且因为用户不能登录到NodeManager上运行,所有NodeManager服务器允许所有用户访问。外部存取控制器可以通过IP地址来识别访问请求来源是否属于NodeManager,如果是,则直接根据访问请求对应的用户名进行读写权限检查,可以提高用户权限认证的效率。
本实施例的技术方案通过响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址,根据IP地址判断出访问请求的来源,若访问请求是来自于入口机服务器,则根据在允许用户集中的匹配结果确定是否允许访问请求;若访问请求是来自于节点管理服务器,则直接进行读写权限检查。本实施例解决了现有技术中分布式文件***的访问权限管理中存在安全漏洞,容易出现非合法用户进行非法操作的问题,无需设置防火墙,提高了分布式文件***访问和存储数据的安全性。
实施例四
图4是本发明实施例四提供的分布式文件***的权限管理装置的结构示意图,本实施例可适用于对分布式文件***的权限进行管理的情况。本发明实施例所提供的分布式文件***的权限管理装置可执行本发明任意实施例所提供的分布式文件***的权限管理方法,具备执行方法相应的功能模块和有益效果。如图4所示,该装置包括访问请求模块410和访问验证模块420,其中:
访问请求模块410,用于响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址。
可选地,用户名包括超级账号的用户名和非超级账号的用户名。
访问验证模块420,用于如果访问请求是来自于入口机服务器,则将获取的用户名和IP地址与预先获取的允许用户集进行匹配,根据匹配结果确定是否允许访问请求,其中,允许用户集是由用户预先通过分布式文件***的Web服务配置的允许用户集。
可选地,访问验证模块420包括:
身份匹配单元,用于如果访问请求是来自于入口机服务器,则将获取的用户名和IP地址与预先获取的允许用户集进行匹配;
权限检查单元,用于如果用户名和IP地址与允许用户集相匹配,则根据访问请求对应的用户名进行读写权限检查,其中,允许用户集中包括至少一个入口机服务器中各入口机服务器的IP地址和对应的至少一个允许用户名;
操作执行单元,用于允许访问请求执行与其读写权限检查的结果相符的操作。
进一步地,访问验证模块420还包括允许用户集获取单元,用于按照预设周期获取并更新允许用户集。其中,允许用户集获取单元包括:
时刻发送子单元,用于按照预设周期获取上一次更新允许用户集的时刻,并将该上一次更新时刻发送至Web服务,以便Web服务根据上一次更新时刻判断当前时刻允许用户集是否有更新;
获取子单元,用于若Web服务的返回结果为允许用户集有更新,则从Web服务获取更新后的允许用户集。
在上述技术方案的基础上,可选地,该装置还包括:
访问检查模块,用于如果访问请求是来自于分布式文件***的节点管理服务器,则根据访问请求对应的用户名进行读写权限检查,并允许访问请求执行与其读写权限检查的结果相符的操作。
本实施例的技术方案通过响应于对分布式文件***的访问请求,获取与访问请求对应的用户名和IP地址,在利用Web服务预先配置的允许用户集中进行匹配,然后根据匹配结果确定是否允许访问请求。本实施例解决了现有技术中分布式文件***的访问权限管理中存在安全漏洞,容易出现非合法用户进行非法操作的问题,无需设置防火墙,提高了分布式文件***访问和存储数据的安全性,实现了对用户的外部访问控制和内部访问控制的双重权限认证过程,实现了对分布式文件***的权限的有效管理。
实施例五
图5是本发明实施例五提供的一种服务器的结构示意图。图5示出了适于用来实现本发明实施方式的示例***器512的框图。图5显示的服务器512仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,服务器512以通用服务器的形式表现。服务器512的组件可以包括但不限于:一个或者多个处理器516,存储装置528,连接不同***组件(包括存储装置528和处理器516)的总线518。
总线518表示几类总线结构中的一种或多种,包括存储装置总线或者存储装置控制器,***总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry SubversiveAlliance,ISA)总线,微通道体系结构(Micro Channel Architecture,MAC)总线,增强型ISA总线、视频电子标准协会(Video Electronics Standards Association,VESA)局域总线以及***组件互连(Peripheral Component Interconnect,PCI)总线。
服务器512典型地包括多种计算机***可读介质。这些介质可以是任何能够被服务器512访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储装置528可以包括易失性存储器形式的计算机***可读介质,例如随机存取存储器(Random Access Memory,RAM)530和/或高速缓存存储器532。服务器512可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机***存储介质。仅作为举例,存储***534可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘,例如只读光盘(Compact Disc Read-Only Memory,CD-ROM),数字视盘(Digital Video Disc-Read Only Memory,DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线518相连。存储装置528可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块542的程序/实用工具540,可以存储在例如存储装置528中,这样的程序模块542包括但不限于操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块542通常执行本发明所描述的实施例中的功能和/或方法。
服务器512也可以与一个或多个外部设备514(例如键盘、指向设备、显示器524等)通信,还可与一个或者多个使得用户能与该服务器512交互的设备通信,和/或与使得该服务器512能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口522进行。并且,服务器512还可以通过网络适配器520与一个或者多个网络(例如局域网(Local Area Network,LAN),广域网(Wide AreaNetwork,WAN)和/或公共网络,例如因特网)通信。如图5所示,网络适配器520通过总线518与服务器512的其它模块通信。应当明白,尽管图中未示出,可以结合服务器512使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Disks,RAID)***、磁带驱动器以及数据备份存储***等。
处理器516通过运行存储在存储装置528中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的分布式文件***的权限管理方法。
实施例六
本发明实施例六还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例所提供的分布式文件***的权限管理方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM,或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、射频(Radio Frequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (12)
1.一种分布式文件***的权限管理方法,其特征在于,包括:
响应于对分布式文件***的访问请求,获取与所述访问请求对应的用户名和IP地址;
如果所述访问请求是来自于入口机服务器,则将所述用户名和IP地址与预先获取的允许用户集进行匹配,根据匹配结果确定是否允许所述访问请求,其中,所述允许用户集是由用户预先通过所述分布式文件***的Web服务配置的允许用户集。
2.根据权利要求1所述的方法,其特征在于,所述根据匹配结果确定是否允许所述访问请求,包括:
如果所述用户名和IP地址与所述允许用户集相匹配,则根据所述访问请求对应的用户名进行读写权限检查,其中,所述允许用户集中包括至少一个入口机服务器中各入口机服务器的IP地址和对应的至少一个允许用户名;
允许所述访问请求执行与其读写权限检查的结果相符的操作。
3.根据权利要求1或2所述的方法,其特征在于,所述用户名包括超级账号的用户名和非超级账号的用户名。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述访问请求是来自于分布式文件***的节点管理服务器,则根据所述访问请求对应的用户名进行读写权限检查,并允许所述访问请求执行与其读写权限检查的结果相符的操作。
5.根据权利要求1所述的方法,其特征在于,所述允许用户集的获取操作包括:
按照预设周期获取并更新所述允许用户集,具体包括:
按照预设周期获取上一次更新所述允许用户集的时刻,并将该上一次更新时刻发送至所述Web服务,以便所述Web服务根据所述上一次更新时刻判断当前时刻所述允许用户集是否有更新;
若所述Web服务的返回结果为所述允许用户集有更新,则从所述Web服务获取更新后的允许用户集。
6.一种分布式文件***的权限管理装置,其特征在于,包括:
访问请求模块,用于响应于对分布式文件***的访问请求,获取与所述访问请求对应的用户名和IP地址;
访问验证模块,用于如果所述访问请求是来自于入口机服务器,则将所述用户名和IP地址与预先获取的允许用户集进行匹配,根据匹配结果确定是否允许所述访问请求,其中,所述允许用户集是由用户预先通过所述分布式文件***的Web服务配置的允许用户集。
7.根据权利要求6所述的装置,其特征在于,所述访问验证模块包括:
身份匹配单元,用于如果所述访问请求是来自于入口机服务器,则将所述用户名和IP地址与预先获取的允许用户集进行匹配;
权限检查单元,用于如果所述用户名和IP地址与所述允许用户集相匹配,则根据所述访问请求对应的用户名进行读写权限检查,其中,所述允许用户集中包括至少一个所述入口机服务器中各入口机服务器的IP地址和对应的至少一个允许用户名;
操作执行单元,用于允许所述访问请求执行与其读写权限检查的结果相符的操作。
8.根据权利要求6或7所述的装置,其特征在于,所述用户名包括超级账号的用户名和非超级账号的用户名。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
访问检查模块,用于如果所述访问请求是来自于分布式文件***的节点管理服务器,则根据所述访问请求对应的用户名进行读写权限检查,并允许所述访问请求执行与其读写权限检查的结果相符的操作。
10.根据权利要求6所述的装置,其特征在于,所述访问验证模块还包括允许用户集获取单元,用于按照预设周期获取并更新所述允许用户集;
所述允许用户集获取单元包括:
时刻发送子单元,用于按照预设周期获取上一次更新所述允许用户集的时刻,并将该上一次更新时刻发送至所述Web服务,以便所述Web服务根据所述上一次更新时刻判断当前时刻所述允许用户集是否有更新;
获取子单元,用于若所述Web服务的返回结果为所述允许用户集有更新,则从所述Web服务获取更新后的允许用户集。
11.一种服务器,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1~5中任一所述的分布式文件***的权限管理方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~5中任一所述的分布式文件***的权限管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810031104.7A CN108289098B (zh) | 2018-01-12 | 2018-01-12 | 分布式文件***的权限管理方法和装置、服务器、介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810031104.7A CN108289098B (zh) | 2018-01-12 | 2018-01-12 | 分布式文件***的权限管理方法和装置、服务器、介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108289098A true CN108289098A (zh) | 2018-07-17 |
| CN108289098B CN108289098B (zh) | 2021-07-06 |
Family
ID=62835195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810031104.7A Active CN108289098B (zh) | 2018-01-12 | 2018-01-12 | 分布式文件***的权限管理方法和装置、服务器、介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108289098B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108696540A (zh) * | 2018-07-18 | 2018-10-23 | 安徽云图信息技术有限公司 | 一种授权安全***及其授权方法 |
| CN109299617A (zh) * | 2018-09-19 | 2019-02-01 | 中国农业银行股份有限公司贵州省分行 | 一种文件加密及解密*** |
| CN111049869A (zh) * | 2018-10-15 | 2020-04-21 | 航天信息股份有限公司 | 一种Hadoop集群中用户管理方法及*** |
| CN111104666A (zh) * | 2018-10-25 | 2020-05-05 | 戴尔产品有限公司 | 用于访问服务的方法、设备和计算机程序产品 |
| CN111427861A (zh) * | 2020-02-28 | 2020-07-17 | 云知声智能科技股份有限公司 | 分布式文件***配置方法及装置 |
| CN112579525A (zh) * | 2019-09-30 | 2021-03-30 | 成都长虹网络科技有限责任公司 | 一种基于web的统一文件处理方法及*** |
| CN112579557A (zh) * | 2019-09-27 | 2021-03-30 | 北京沃东天骏信息技术有限公司 | 请求响应方法、装置、***、计算机***和可读存储介质 |
| CN113158169A (zh) * | 2021-03-30 | 2021-07-23 | 北京大米科技有限公司 | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 |
| CN113779609A (zh) * | 2021-09-22 | 2021-12-10 | 北方健康医疗大数据科技有限公司 | 数据管理方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102341809A (zh) * | 2009-03-12 | 2012-02-01 | 国际商业机器公司 | 分布式文件***访问 |
| CN102546664A (zh) * | 2012-02-27 | 2012-07-04 | 中国科学院计算技术研究所 | 用于分布式文件***的用户与权限管理方法及*** |
| US20140330815A1 (en) * | 2013-05-03 | 2014-11-06 | Splunk Inc. | Processing a system search request across disparate data collection systems |
| CN107196951A (zh) * | 2017-06-12 | 2017-09-22 | 北京明朝万达科技股份有限公司 | 一种hdfs***防火墙的实现方法和防火墙*** |
| CN107257334A (zh) * | 2017-06-08 | 2017-10-17 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
-
2018
- 2018-01-12 CN CN201810031104.7A patent/CN108289098B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102341809A (zh) * | 2009-03-12 | 2012-02-01 | 国际商业机器公司 | 分布式文件***访问 |
| CN102546664A (zh) * | 2012-02-27 | 2012-07-04 | 中国科学院计算技术研究所 | 用于分布式文件***的用户与权限管理方法及*** |
| US20140330815A1 (en) * | 2013-05-03 | 2014-11-06 | Splunk Inc. | Processing a system search request across disparate data collection systems |
| CN107257334A (zh) * | 2017-06-08 | 2017-10-17 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
| CN107196951A (zh) * | 2017-06-12 | 2017-09-22 | 北京明朝万达科技股份有限公司 | 一种hdfs***防火墙的实现方法和防火墙*** |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108696540A (zh) * | 2018-07-18 | 2018-10-23 | 安徽云图信息技术有限公司 | 一种授权安全***及其授权方法 |
| CN109299617A (zh) * | 2018-09-19 | 2019-02-01 | 中国农业银行股份有限公司贵州省分行 | 一种文件加密及解密*** |
| CN111049869B (zh) * | 2018-10-15 | 2022-09-02 | 航天信息股份有限公司 | 一种Hadoop集群中用户管理方法及*** |
| CN111049869A (zh) * | 2018-10-15 | 2020-04-21 | 航天信息股份有限公司 | 一种Hadoop集群中用户管理方法及*** |
| CN111104666A (zh) * | 2018-10-25 | 2020-05-05 | 戴尔产品有限公司 | 用于访问服务的方法、设备和计算机程序产品 |
| CN111104666B (zh) * | 2018-10-25 | 2023-09-05 | 戴尔产品有限公司 | 用于访问服务的方法、设备和计算机可读介质 |
| CN112579557A (zh) * | 2019-09-27 | 2021-03-30 | 北京沃东天骏信息技术有限公司 | 请求响应方法、装置、***、计算机***和可读存储介质 |
| CN112579525A (zh) * | 2019-09-30 | 2021-03-30 | 成都长虹网络科技有限责任公司 | 一种基于web的统一文件处理方法及*** |
| CN111427861A (zh) * | 2020-02-28 | 2020-07-17 | 云知声智能科技股份有限公司 | 分布式文件***配置方法及装置 |
| CN111427861B (zh) * | 2020-02-28 | 2023-05-05 | 云知声智能科技股份有限公司 | 分布式文件***配置方法及装置 |
| CN113158169A (zh) * | 2021-03-30 | 2021-07-23 | 北京大米科技有限公司 | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 |
| CN113779609A (zh) * | 2021-09-22 | 2021-12-10 | 北方健康医疗大数据科技有限公司 | 数据管理方法、装置、电子设备及存储介质 |
| CN113779609B (zh) * | 2021-09-22 | 2024-03-22 | 北方健康医疗大数据科技有限公司 | 数据管理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108289098B (zh) | 2021-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108289098A (zh) | 分布式文件***的权限管理方法和装置、服务器、介质 | |
| US11792199B2 (en) | Application-assisted login for a web browser | |
| US20190342277A1 (en) | Out of box experience application api integration | |
| US9805209B2 (en) | Systems and methodologies for managing document access permissions | |
| RU2387003C2 (ru) | Способ, система и устройство для обнаружения источников данных и соединения с источниками данных | |
| US8381306B2 (en) | Translating role-based access control policy to resource authorization policy | |
| US10484383B2 (en) | Pre-authorizing a client application to access a user account on a content management system | |
| CN109479062B (zh) | 混合云计算***中的使用跟踪 | |
| US7334039B1 (en) | Techniques for generating rules for a dynamic rule-based system that responds to requests for a resource on a network | |
| CN104769908A (zh) | 基于ldap的多租户云中身份管理*** | |
| US10891357B2 (en) | Managing the display of hidden proprietary software code to authorized licensed users | |
| CN106844489A (zh) | 一种文件操作方法、装置以及*** | |
| CN101268468A (zh) | 认证脚本代码源的方法和设备 | |
| US7243138B1 (en) | Techniques for dynamic rule-based response to a request for a resource on a network | |
| CN104580210A (zh) | 云平台环境下的防盗链方法、防盗链组件和云平台 | |
| JP2020038438A (ja) | 管理装置、管理システム及びプログラム | |
| JP7106078B2 (ja) | データ分散型統合管理システム | |
| CN114297598B (zh) | 用户权限处理方法及装置 | |
| CN116566656A (zh) | 资源访问方法、装置、设备及计算机存储介质 | |
| CN105763532A (zh) | 一种登录虚拟桌面的方法及装置 | |
| US11356382B1 (en) | Protecting integration between resources of different services using service-generated dependency tags | |
| CN107800715A (zh) | 一种Portal认证方法及接入设备 | |
| Kim et al. | Vulnerability detection mechanism based on open API for multi-user's convenience | |
| US11669527B1 (en) | Optimized policy data structure for distributed authorization systems | |
| CN118018248A (zh) | 访问控制方法、***、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |