Kafka增加安全验证安全认证,SASL认证,并通过spring boot-Java客户端连接配置

已于 2023-02-01 19:49:04 修改
阅读量4.9k 收藏 8
点赞数 1
分类专栏: SpringBoot 文章标签: java kafka 安全
于 2023-02-01 19:47:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Avril___/article/details/128839150
版权
文章介绍了如何在Kafka2.4.0中启用SASL/PLAIN身份验证以增强安全性,包括修改JAAS配置文件,设置Kafka代理和客户端的参数,以及在Java客户端中进行连接配置。重点涉及KAFKA_SERVER_JAAS_CONF的设置和SASL相关的配置项。
摘要由CSDN通过智能技术生成

出发点

公司Kafka一直没做安全验证,由于是诱捕程序故需要面向外网连接,需要增加Kafka连接验证,保证Kafka不被非法连接,故开始研究Kafka安全验证
使用Kafka版本为2.4.0版本,主要参考官方文档

官网

官网对2.4版本安全验证介绍以及使用方式地址:
https://kafka.apache.org/24/documentation.html#security

具体流程

使用 SASL/PLAIN 进行身份验证
SASL/PLAIN 是一种简单的用户名/密码身份验证机制,通常与 TLS 一起使用以进行加密以实现安全身份验证。 Kafka 支持 SASL/PLAIN 的默认实现,可以扩展用于生产用途,如此处所述。

用户名用作 ACL 等配置的身份验证。
配置 Kafka 代理
将一个经过适当修改的 JAAS 文件添加到每个 Kafka 代理的配置目录中,类似于下面的文件,在这个例子中我们称之为 kafka_server_jaas.conf: 此配置定义了两个用户(admin 和 alice)。代理使用 KafkaServer 部分中的属性用户名和密码来启动与其他代理的连接。在此示例中,admin 是代理间通信的用户。属性集user_用户名定义 连接到代理的所有用户的密码,代理验证所有客户端连接,包括 来自使用这些属性的其他经纪人的人。

重要配置kafka_server_jaas.conf

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin-secret"
    user_admin="admin-secret"
    user_alice="alice-secret";
};

将 JAAS 配置文件位置作为 JVM 参数传递给每个 Kafka 代理:

注意

以下配置需要添加到Kafka启动脚本中以添加JVM虚拟机运行参数

需要改为自己的kafka_server_jaas.conf配置文件路径

-Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf

我自己的Kafka的路径为/opt/kafka/bin/kafka-server-start.sh
具体内容如下
主要配置为KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=/opt/kafka/config/kafka_server_jaas.conf"

#!/bin/bash
# Licensed to the Apache Software Foundation (ASF) under one or more
# contributor license agreements.  See the NOTICE file distributed with
# this work for additional information regarding copyright ownership.
# The ASF licenses this file to You under the Apache License, Version 2.0
# (the "License"); you may not use this file except in compliance with
# the License.  You may obtain a copy of the License at
#
#    http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

if [ $# -lt 1 ];
then
        echo "USAGE: $0 [-daemon] server.properties [--override property=value]*"
        exit 1
fi
base_dir=$(dirname $0)

if [ "x$KAFKA_LOG4J_OPTS" = "x" ]; then
    export KAFKA_LOG4J_OPTS="-Dlog4j.configuration=file:$base_dir/../config/log4j.properties"
fi

if [ "x$KAFKA_HEAP_OPTS" = "x" ]; then
    export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=/opt/kafka/config/kafka_server_jaas.conf"
fi

EXTRA_ARGS=${EXTRA_ARGS-'-name kafkaServer -loggc'}

COMMAND=$1
case $COMMAND in
  -daemon)
    EXTRA_ARGS="-daemon "$EXTRA_ARGS
    shift
    ;;
  *)
    ;;
esac

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS kafka.Kafka "$@"

在服务器属性中配置 SASL 端口和 SASL 机制,如此处所述。例如:

listeners=SASL_SSL://host.name:port
    security.inter.broker.protocol=SASL_SSL
    sasl.mechanism.inter.broker.protocol=PLAIN
    sasl.enabled.mechanisms=PLAIN

配置 Kafka 客户端

要在客户端上配置 SASL 身份验证,请执行以下操作:
在 producer.properties 或 consumer.properties 中为每个客户机配置 JAAS 配置属性。 登录模块描述了生产者和消费者等客户端如何连接到 Kafka 代理。 以下是 PLAIN 机制的客户端配置示例:

sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
    username="alice" \
    password="alice-secret";

客户端使用选项用户名和密码进行配置 客户端连接的用户。在此示例中,客户端以用户 alice 身份连接到代理。 JVM 中的不同客户机可以通过指定不同的用户名作为不同的用户进行连接 和 中的密码。sasl.jaas.config

客户机的 JAAS 配置也可以指定为类似于代理的 JVM 参数 如此处所述。客户端使用名为 KafkaClient 的登录部分。此选项只允许一个用户访问来自 JVM 的所有客户机连接。

在生产者属性或消费者属性中配置以下属性:
security.protocol=SASL_SSL
sasl.mechanism=PLAIN
在生产中使用 SASL/PLAIN
SASL/PLAIN 应仅与 SSL 一起使用作为传输层,以确保明文密码不会在未加密的情况下在线传输。
Kafka 中 SASL/PLAIN 的默认实现指定 JAAS 配置文件中的用户名和密码,如下所示。从 Kafka 2.0 版本开始,您可以避免在磁盘上存储明文密码 通过配置您自己的回调处理程序,这些处理程序使用配置选项和 从外部源获取用户名和密码。sasl.server.callback.handler.classsasl.client.callback.handler.class
在生产系统中,外部身份验证服务器可以实现密码身份验证。从卡夫卡2.0版本开始, 您可以通过配置 来插入自己的回调处理程序,这些处理程序使用外部身份验证服务器进行密码验证。sasl.server.callback.handler.class

使用Java客户端进行连接的配置类:

package com.xxx.xxx.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.kafka.KafkaProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.kafka.annotation.EnableKafka;
import org.springframework.kafka.config.ConcurrentKafkaListenerContainerFactory;
import org.springframework.kafka.config.KafkaListenerContainerFactory;
import org.springframework.kafka.core.DefaultKafkaConsumerFactory;
import org.springframework.kafka.core.DefaultKafkaProducerFactory;
import org.springframework.kafka.core.KafkaTemplate;
import org.springframework.kafka.listener.ConcurrentMessageListenerContainer;

import java.util.Map;

/**
 * @FileName: KafkaSecurityConfig.java
 * @Description: KafkaSecurityConfig.java类说明
 * @Date: 2023/2/1 17:16
 */
@Configuration
@EnableKafka
public class KafkaSecurityConfig {
    public class KafkaProducerConfig {
        @Autowired
        private KafkaProperties kafkaProperties;

        /**
         * 消费者配置
         */
        @Bean
        public KafkaListenerContainerFactory<ConcurrentMessageListenerContainer<String, String>> kafkaListenerContainerFactory() {
            ConcurrentKafkaListenerContainerFactory<String, String> factory = new ConcurrentKafkaListenerContainerFactory<>();
            Map<String, Object> props = kafkaProperties.buildConsumerProperties();
            props.put("sasl.jaas.config", "org.apache.kafka.common.security.plain.PlainLoginModule required username=alice password=alice-secret;");
            props.put("security.protocol", "SASL_PLAINTEXT");
            props.put("sasl.mechanism", "PLAIN");
            factory.setConsumerFactory(new DefaultKafkaConsumerFactory<>(props));
            factory.setConcurrency(2);
            factory.getContainerProperties().setPollTimeout(1500);
            return factory;
        }


        /**
         * 生产者配置
         */
        @Bean
        public KafkaTemplate<String, String> kafkaTemplate() {
            Map<String, Object> props = kafkaProperties.buildProducerProperties();
            props.put("sasl.jaas.config", "org.apache.kafka.common.security.plain.PlainLoginModule required username=alice password=alice-secret;");
            props.put("security.protocol", "SASL_PLAINTEXT");
            props.put("sasl.mechanism", "PLAIN");
            return new KafkaTemplate<>(new DefaultKafkaProducerFactory<>(props));
        }
    }
}
Bruin_W
关注
专栏目录
kafka添加ssl认证
moliyiran的专栏
02-20 520
主要是生成证书: 请先安装java和openssl. 生成证书脚本ca.sh: #!/bin/bash #Step 1 keytool -keystore /var/soft/ca/server.keystore.jks -alias localhost -validity 365 -genkey #Step 2 openssl req -new -x509 -keyout ca-key ...
kafka添加安全验证配置
没啥简介
11-09 6076
spring kafka 添加安全验证配置 综合考虑性能影响、管理成本、安全等级要求,接入便利程度。 鉴权采用SASL+PLAINTEXT 方式。 每个集群会分配统一的访问账号及密码用于客户端访问。 服务端配置: 1. config 目录添加kafka_server_jaas.conf 配置文件, 内容: KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" p
kafka服务端设置用户和密码登录及springboot访问实现
热门推荐
guaotianxia的博客
11-02 1万+
一、背景:做物联网项目,需要用MQ做消息队列做缓冲,选择了使用kafka,部署在公网环境,部署kafka后没有设置登录验证,刚刚部署就被恶意扫描到,向kafka里面push超过1G的文件,直接导致kafka宕掉,虽然无法获取主机权限,但是比较膈应,因此设置了登录 验证,记录下安装、设置及项目程序代码实现整个过程 二、部署环境:Linux+Ubuntu+kafka(2.8.0)+zookeeper(3.5.9,单机版kafka默认自带) 三、部署安装 1、从官网下载kafka,Apache Kafka.
kafka动态认证 自定义认证 安全认证-亲测成功
最新发布
yinjl123的博客
09-20 1094
Kafka默认是没有安全机制的,一直在裸奔。用户认证功能,是一个成熟组件不可或缺的功能。在0.9版本以前kafka是没有用户认证模块的(或者说只有SSL),好在kafka0.9版本以后逐渐发布了多种用户认证功能,弥补了这一缺陷(这里仅介绍SASL),认证机制是SASL/PLAIN。kafka用户认证,是基于java的jaas。所以我们需要先添加jaas服务端的配置文件。注意最后一个属性后面需要加分号!
kafka2.4.1】kafka增加身份认证
qq_31286957的博客
09-25 545
1、进入kafka目录,修改kafka配置文件,修改config/server.properties文件,并添加如下内容。2、在kafka目录下config目录,创建配置文件kafka_server_jaas.conf,填入如下内容。1、版本 kafka 2.4.1 ,zookeeper3.5.7(自行下载)3、在当前kafka目录下,修改kafka启动脚本。kafka默认部署情况下是没有身份认证。5、springboot 连接kafka。4、启动zk、kafka。2、单节点 kafka
kafka集群搭建(二) - spring boot集成SASL权限认证方式kafka集群
weixin_42463980的博客
03-16 3249
kafka集群搭建(一) - SASL_PLAINTEXT方式实现动态权限管理 说明 该集成是针对上篇搭建的动态权限管理方式kafka集群进行接入,首先需要按照上篇说明创建一个名为hello的topic,添加用户名为reader,密码为reader-pwd的用户,并将其添加到test-group用户组,并给其分配hello主题的读和写权限,否则测试的时候会有权限问题。 pom文件添加依赖 创建一个...
spring-boot集成kafka
11-28
Spring for Apache Kafka提供了与Spring Boot整合的便利,通过引入`spring-kafka`和`spring-boot-starter`依赖,我们可以轻松地在Spring Boot应用中使用Kafka。添加以下依赖: ```xml <groupId>org.spring...
spring boot整合kafka 而且kafka使用SASL认证的机制是SCRAM-SHA-512 在yml中怎么配置
06-07
可以在Spring Boot配置文件application.yml中添加以下配置: ``` spring: kafka: bootstrap-servers: <kafka...这样配置之后,Spring Boot就会使用SASL认证机制连接Kafka集群,并使用SCRAM-SHA-512算法进行认证
Kafka SASL_SSL双重认证
weixin_44783506的博客
02-05 4160
kafka提供了多种安全认证机制,主要分为SASL和SSL两大类。在 Kafka 中启用 SASL_SSL 安全协议时,SASL 用于客户端和服务器之间的身份验证,SSL 则用于加密和保护数据的传输。不仅提供身份验证,还提供加密和数据保护的功能。因工作需要,需要在测试环境搭建一套基于SASL_SSL协议的kafka环境。坑比较多,经过两天的研究终于搞定了,特在此记录下。
Kafka安全认证SASL/PLAIN,并和springBoot整合
ITCloud
07-06 1万+
kafka_2.11-1.1.0.tgz、zookeeper-3.4.10.tar.gz版本 1. kafka配置 kafka解压目录下工作 # 1.新建配置文件 vi ./config/kafka_server_jaas.conf # 文件内容 # username定义一个公共的用户名,用于节点之间进行通信,user_xxxx主要是客户端用来连接kafka的,等号后面是密码,x...
Kafka安全认证授权配置
qq_41203483的博客
11-17 8692
Kafka安全认证授权配置一 概述1.1 Kafka的权限分类1.2 实现方式二 安全认证授权配置2.1 zookeeper配置2.1.1 引入kafka依赖包2.1.2修改ZK配置文件2.1.3 创建jaas文件2.1.4 修改zkEnv.sh2.1.5 启动zk2.2 Kafka配置2.2.1 创建超级用户2.2.2 创建jaas文件2.2.3 修改kafka配置文件2.2.4启动kafka三 测试连接3.1 生产者测试3.2 消费者测试3.3 beats工具连接3.4 logstash消费 一 概述
SpringBoot集成KafkaSASL_SSL
pleaseprintf的博客
04-15 1622
前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。Kafka 是一个由 LinkedIn 开发的分布式消息系统,它于2011年年初开源,现在由著名的 Apache 基金会维护与开发。Kafka 使用 Scala 实现,被用作 LinkedIn 的活动流和运营数据处理的管道,现在也被诸多互联网企业广泛地用作数据流管道和消息系统, Kafka 是基于消息发布﹣订阅模式实现的消息系统。
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 2991
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
Kafka SASL认证与ACL配置
u010100623的博客
04-30 1950
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
Kafka安全模式之身份认证
weixin_42556307的博客
02-27 3259
SASL-PLAIN方式是一个经典的用户名/密码的认证方式,其中用户名和密码是以明文形式保存在服务端的JAAS配置文件中的,当客户端使用PLAIN模式进行认证时,密码是明文传输的,因此安全性较低,但好处是足够简单,方便我们对其进行二次开发,在0.10版本引入。在kafka身份认证的过程中,需要的principal,keytab,ServiceName等信息均配置在jaas文件中,因此保证认证的服务可以读取到正确的文件及正确的配置kafka安全模式下认证的核心。解决办法是找第三方提供。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值