hazelcast如何支持c/s模式下的凭证轮换

aiazj4mn  于 2021-07-08  发布在  Java
关注(0)|答案(2)|浏览(310)

我已经在c/s模式下部署了hazelcast,在那里我开始使用usernamepassword凭据进行身份验证,因此在启动服务器和客户端时,我使用username1和password1作为凭据。现在由于安全方面的原因,我想更新凭据,如何在服务器和客户端应用程序上不停机的情况下实现这一点。

ckocjqey

ckocjqey1#

hazelcast不支持开箱即用的客户端凭据轮换。可以逐步解决:
引入认证配置(登录模块堆栈),它接受新旧凭证;
对所有成员进行滚动重启,以激活新的身份验证配置;
替换客户端配置中的凭据并重新启动所有客户端;
将成员配置为仅接受新凭据,然后再次执行滚动重新启动。
这与在正在运行的集群中更新tls证书类似。请参阅《hazelcast参考手册》:https://docs.hazelcast.org/docs/4.1/manual/html-single/index.html#updating-正在运行的群集中的证书

l0oc07j2

l0oc07j22#

hazelcast group name/password在3.12.x之前是可用的(自从hazelcast 4之后它就被删除了),但是它从来没有提供安全性,因此不支持密码轮换。

<group>
    <name>dev</name>
    <password>dev-pass</password>
</group>

要在hazelcast中正确配置安全性,您需要使用ssl(这是一种企业特性)。ssl支持密钥旋转。

相关问题