KAFKA权限配置SASL/PLAIN身份验证

最新推荐文章于 2024-04-09 21:08:26 发布
最新推荐文章于 2024-04-09 21:08:26 发布
阅读量1.2k 收藏 1
点赞数
文章标签: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Forrest__shao/article/details/104308256
版权

zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证

配置环境
JKD: 1.8
Kafka: 2.3.0
Zookeeper: 3.4.14
服务器名kafka内网IP:PORTkafka外网IP:PORTzookeeper内网IP:PORT
KAFKA01192.168.1.157:9092116.155.153.185:19092192.168.1.157:2181
KAFKA02192.168.1.158:9092116.155.153.185:29092192.168.1.157:2181
KAFKA03192.168.1.159:9092116.155.153.185:39092192.168.1.157:2181

以上外网地址是将各自内网地址在SLB中单独监听产生

关闭kafka
[root@KAFKA01 ~]# cd /opt/kafka
[root@KAFKA01 kafka]# bin/kafka-server-stop.sh
关闭zookeeper
[root@KAFKA01 ~]# cd /opt/bigdata/zookeeper-3.4.14/
[root@KAFKA01 zookeeper-3.4.14]# bin/zkServer.sh stop
修改zookeeper配置文件

在配置文件zoo.cfg添加

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

在conf目录新建zk_server_jaas.conf

touch zk_server_jaas.conf

添加内容

Server {
	org.apache.kafka.common.security.plain.PlainLoginModule required
	username="admin"
	password="admin"
	user_alice="alice";
};

username和paasword是zk集群之间的认证密码。
user_alice=“alice"定义了一个用户"alice”,密码是"alice",是用于kafka客户端访问ZK的。

修改zkEnv.sh,添加内容

export SERVER_JVMFLAGS=" -Djava.security.auth.login.config=/opt/bigdata/zookeeper-3.4.14/conf/zk_server_jaas.conf "
导入相关jar
[root@QG-KAFKA-UAT-TEMP01 ~]# cd /opt/bigdata/zookeeper-3.4.14/lib
[root@QG-KAFKA-UAT-TEMP01 ~]# cp /opt/kafka/libs/kafka-clients-2.3.0.jar ./
[root@QG-KAFKA-UAT-TEMP01 ~]# cp /opt/kafka/libs/lz4-java-1.6.0.jar ./
[root@QG-KAFKA-UAT-TEMP01 ~]# cp /opt/kafka/libs/slf4j-api-1.7.26.jar ./
[root@QG-KAFKA-UAT-TEMP01 ~]# cp /opt/kafka/libs/snappy-java-1.1.7.3.jar ./
[root@QG-KAFKA-UAT-TEMP01 ~]# cp /opt/kafka/libs/slf4j-log4j12-1.7.26.jar ./
修改kafka配置文件

kafka/config路径下新增配置文件kafka_server_jaas.conf

touch kafka_server_jaas.conf

添加内容

KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="admin"
user_admin="admin"
user_alice="alice";
};

说明:在KafkaServer部分,username和password是broker用于初始化连接到其他的broker,在上面配置中,admin用户为broker间的通讯,user_userName定义了所有连接到broker和 broker验证的所有的客户端连接,包括其他broker的用户密码,user_userName必须配置admin用户,否则报错.

kafka/config路径下新增配置文件kafka_client_jaas.conf

touch kafka_client_jaas.conf

添加内容

KafkaClient {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="alice"
password="alice";
};

说明:在KafkaClient部分,username和password是客户端用来配置客户端连接broker的用户,在上面配置中,客户端使用alice用户连接到broker.

修改server.properties

listeners=SASL_PLAINTEXT://kafka内网IP:PORT
advertised.listeners=SASL_PLAINTEXT://kafka外网IP:PORT

添加内容

# 使用的认证协议 
security.inter.broker.protocol=SASL_PLAINTEXT
#SASL机制 
sasl.enabled.mechanisms=PLAIN  
sasl.mechanism.inter.broker.protocol=PLAIN   
# 完成身份验证的类 
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer 
# 如果没有找到ACL(访问控制列表)配置,则允许任何操作。 
#allow.everyone.if.no.acl.found=true
super.users=User:admin

修改配置文件consumer.properties和producer.properties,分别增加如下配置

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

修改consumer.propertie中group.id=group-1,若有多个消费客户端需保证groupid不重复,否则无法同时消费消息.

修改 kafka-server-start.sh

添加内容:
export KAFKA_OPTS=" -Djava.security.auth.login.config=/opt/kafka/config/kafka_server_jaas.conf"

修改kafka-console-consumer.sh和kafka-console-producer.sh,分别增加如下配置

添加内容:
export KAFKA_OPTS=" -Djava.security.auth.login.config=/opt/kafka/config/kafka_client_jaas.conf"
启动zookeeper
[root@KAFKA01 ~]# cd /opt/bigdata/zookeeper-3.4.14/
[root@KAFKA01 zookeeper-3.4.14]# bin/zkServer.sh start
启动kafka
[root@KAFKA01 zookeeper-3.4.14]# cd /opt/kafka
[root@KAFKA01 kafka]# bin/kafka-server-start.sh -daemon config/server.properties &
验证

开启生产者

bin/kafka-console-producer.sh --broker-list KAFKA01:9092 --topic myTopic --producer.config config/producer.properties

开启消费者

bin/kafka-console-consumer.sh --bootstrap-server KAFKA02:9092 --topic myTopic --from-beginning --consumer.config config/consumer.properties
bin/kafka-console-consumer.sh --bootstrap-server KAFKA03:9092 --topic myTopic --from-beginning --consumer.config config/consumer.properties
bin/kafka-console-consumer.sh --bootstrap-server 116.155.153.185:19092 --topic myTopic --from-beginning --consumer.config config/consumer.properties

如果消费者启动不了或者无法消费指定topic,报错如下:
在这里插入图片描述
尝试设置所使用用户的组权限

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=KAFKA01:2181,KAFKA02:2181,KAFKA03:2181 --add --allow-principal User:alice --group  group-1 --topic myTopic

其他权限操作例子

增加权限:

# 为用户 alice 在 myTopic(myTopic)上添加读写的权限
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=KAFKA01:2181,KAFKA02:2181,KAFKA03:2181 --add --allow-principal  User:alice --operation Read --operation Write --topic myTopic
# 对于 topic 为 myTopic 的消息队列,拒绝来自 KAFKA01 为192.168.3.107账户为 forrest 进行 read 操作,其他用户都允许
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=KAFKA01:2181 --add --allow-principal KAFKA01 User:* --allow-host * --deny-principal KAFKA01 User:forrest --deny-host 192.168.3.107 --operation Read --topic myTopic
# 为 forrest 和 alice 添加all,以允许来自 KAFKA01 为192.168.3.107或者192.168.1.101的读写请求
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=KAFKA01:2181 --add --allow-principal KAFKA01 User:forrest --allow-principal KAFKA01 User:alice --allow-host 192.168.3.107 --allow-host 192.168.1.101 --operation Read --operation Write --topic myTopic

获取权限列表

# 列出 topic 为 myTopic 的所有权限账户
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=KAFKA01:2181 --list --topic myTopic

移除权限

# 移除 acl
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=KAFKA01:2181 --remove --allow-principal KAFKA01 User:forrest --allow-principal KAFKA01 User:Alice --allow-host 192.168.3.107 --allow-host 192.168.1.101 --operation Read --operation Write --topic myTopic
Forrest__shao
关注
Kafka配置用户名密码访问
m0_59092234的博客
06-08 1394
kafka_2.12-2.4.0.tgz(带zookeeper) 2.2 修改kafka配置文件 server.properties vim /data/kafka/config/server.properties: 2.3 添加SASL配置文件 在kafka安装目录下创建一个 kafka_server_jaas.conf 文件 vim /data/kafka/kafka_server_jaas.conf: 说明:该配置通过org.apache.org.apache.kafka.common.securit
Kafka3.3单机模式-Windows-SASL/PLAIN身份验证-使用自带zookeeper
weixin_68970731的博客
11-04 2228
kafka3.x版本单机模式下的sasl/plain权限设置,包含zk的权限设置、topic的权限设置、group的权限设置等
kafkaPLAIN加密认证
weixin_56260207的博客
04-17 453
2、config文件夹新建文件 kafka_server_jaas.conf。4、修改server.properties添加,修改对应IP和端口。3、修改kafka-server-start.sh在最前面添加。1、启动zookeeper。
Kafka的认证
Linux_cui的博客
12-09 4721
kafka认证
Kafka SASL/PLAIN静态认证集群部署
Astralisxoxo的博客
09-16 1394
Kafka SASL集群部署 在Kafka中,SASL机制包含三种,它们分别是Kerberos、PLAIN、SCRAM。以PLAIN认证为示例 1.配置Server 1)解压安装包 tar -zxvf kafka_2.11-2.4.1.tgz -C /home/xyp9x/ 2)改名 mv kafka_2.11-2.4.1 kafka_sasl 2)在kafka目录下创建logs、kafka-logs文件夹 mkdir logs kafka-logs 3)config目录中创建kafka_server
kafka配置SASL/PLAIN 安全认证
weixin_44280356的博客
08-29 2500
由上一步可发现,认证方式使用的是Kafka的认证类org.apache.kafka.common.security.plain.PlainLoginModule。网上的说法是 Client,是kafka作为用户使用zk的认证信息,这里的username和password一定要和zk_server_jaas.conf的配置对的上。user_kafka=“kafkapasswd"定义了一个用户"kafka”,密码是"kafkapasswd",本次测试用户是kafka broker。在zkEnv.sh添加。
kafka0.11部署SASL/PLAIN认证
月明
05-15 962
kafka部署 本教程将在一台设备上部署3个kafka broker,1个zookeeper组成kafka集群,其中kafka broker分别使用9092,9093,9094端口数据分别存放在/data目录下的kafka-1,kafka-2,kafka-3目录,zookeeper使用2181端口。 该教程中kafka版本使用kafka_2.11-0.11.0.2,安全认证使用SAS...
Kafka 使用SASL / SCRAM进行身份验证
choudeque8858的博客
03-15 3399
使用SASL / SCRAM进行身份验证 请先在不配置任何身份验证的情况下启动Kafka 1. 创建SCRAM Credentials 1.1 创建broker通信用户(或称超级用户) bash Emacs bin/kafka-configs.sh --zookeeper c...
kafka SASL认证介绍及自定义SASL PLAIN认证功能
zzzzMing -大数据/数据分析/数据挖掘
11-23 2170
文章目录kafka 2.x用户认证方式小结SASL/PLAIN实例(配置及客户端)broker配置客户端配置自定义SASL/PLAIN认证(二次开发)kafka2新的callback接口介绍自定义sasl/plain功能 用户认证功能,是一个成熟组件不可或缺的功能。在0.9版本以前kafka是没有用户认证模块的(或者说只有SSL),好在kafka0.9版本以后逐渐发布了多种用户认证功能,弥补了这一缺陷(这里仅介绍SASL)。 本篇会先介绍当前kafka的四种认证方式,然后过一遍部署SASL/PLAIN认证功
Kafka 配置用户名密码例子
09-10
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 ,我拿第三种进行了 配置 。你可以直接下载 运行并测试
Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证
2401_84138803的博客
04-07 2431
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Kafka安全认证机制详解之SASL_PLAIN
空城的博客
01-02 3286
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。
windos的kafka设置账号密码
m0_56525972的博客
09-23 1346
2. 在kafka的config目录下创建一个 kafka_server_jaas.conf 文件。5.生产者kafka-console-producer.bat增加。3.修改kafka-server-start.bat。4. 在kafka的config目录下创建一个。
Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证,2024年最新网络安全核心知识点
最新发布
2301_76379606的博客
04-09 1279
验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
Kafka 开启 SASL/PLAINTEXT 认证及 ACL
我吃柠檬的博客
07-06 5011
Linux 安装 Kafka开启 SASL/PLAINTEXT 认证
Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证,7年老网络安全一次操蛋的面试经历
m0_60732644的博客
04-05 2026
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
kafka用户认证与权限管理(SASL/PLAIN+ACL)
浪子天涯行世录
11-18 2606
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 kafka的认证范围 kafka client 与 kafka server(broker) broker与broker之间 broker与zookeeper之间 zookpeer认证 在zookeeper安装根目录的conf目录下,创建zk_server_jaas.conf文件 Server {...
kafka安全认证与授权(SASL-PLAIN
Innocence_0的博客
02-25 1551
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…这是通过在规则末尾添加“/L”来完成的。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
Windows Kafka安装配置SASL/PLAIN身份验证教程
对于SASL/PLAIN身份验证配置,虽然文档未提供详细步骤,但通常需要在Kafka的`server.properties`文件中添加SASL相关配置项,如`security.inter.broker.protocol`和`sasl.mechanism`等,并可能需要配置相应的SASL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值