我已经在c/s模式下部署了hazelcast,在那里我开始使用usernamepassword凭据进行身份验证,因此在启动服务器和客户端时,我使用username1和password1作为凭据。现在由于安全方面的原因,我想更新凭据,如何在服务器和客户端应用程序上不停机的情况下实现这一点。
ckocjqey1#
hazelcast不支持开箱即用的客户端凭据轮换。可以逐步解决:引入认证配置(登录模块堆栈),它接受新旧凭证;对所有成员进行滚动重启,以激活新的身份验证配置;替换客户端配置中的凭据并重新启动所有客户端;将成员配置为仅接受新凭据,然后再次执行滚动重新启动。这与在正在运行的集群中更新tls证书类似。请参阅《hazelcast参考手册》:https://docs.hazelcast.org/docs/4.1/manual/html-single/index.html#updating-正在运行的群集中的证书
l0oc07j22#
hazelcast group name/password在3.12.x之前是可用的(自从hazelcast 4之后它就被删除了),但是它从来没有提供安全性,因此不支持密码轮换。
<group> <name>dev</name> <password>dev-pass</password> </group>
要在hazelcast中正确配置安全性,您需要使用ssl(这是一种企业特性)。ssl支持密钥旋转。
2条答案
按热度按时间ckocjqey1#
hazelcast不支持开箱即用的客户端凭据轮换。可以逐步解决:
引入认证配置(登录模块堆栈),它接受新旧凭证;
对所有成员进行滚动重启,以激活新的身份验证配置;
替换客户端配置中的凭据并重新启动所有客户端;
将成员配置为仅接受新凭据,然后再次执行滚动重新启动。
这与在正在运行的集群中更新tls证书类似。请参阅《hazelcast参考手册》:https://docs.hazelcast.org/docs/4.1/manual/html-single/index.html#updating-正在运行的群集中的证书
l0oc07j22#
hazelcast group name/password在3.12.x之前是可用的(自从hazelcast 4之后它就被删除了),但是它从来没有提供安全性,因此不支持密码轮换。
要在hazelcast中正确配置安全性,您需要使用ssl(这是一种企业特性)。ssl支持密钥旋转。