Kafka + zookeeper (ACL)安全认证及权限控制

已于 2022-05-13 18:52:48 修改
阅读量6.9k 收藏 15
点赞数 4
分类专栏: Linux 文章标签: kafka zookeeper 分布式
于 2022-05-13 11:42:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JKjiang123/article/details/124747894
版权
本文详细介绍了如何配置Kafka和Zookeeper的SASL安全认证,包括创建jaas配置文件,修改相关配置,导入依赖,并提供了Java API验证的示例。此外,还讲解了Kafka的ACL权限控制,如何为用户分配主题的读写权限,以及使用kafka-acls.sh工具进行权限管理。
摘要由CSDN通过智能技术生成

版本:kafka_2.12-2.4.1 、apache-zookeeper-3.6.3-bin

一、Zookeeper 配置 SASL

        若只关注 kafka 的安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka 

1.1 新建 zoo_jaas.conf 文件

        zoo_jaas.conf 文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下

Server {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin"
    user_kafka="kafka@123";
};

        Server.username、Server.password为 Zookeeper 内部通信的用户名和密码,因此保证每个 zk 节点该属性一致即可
        Server.user_xxx 中 xxx 为自定义用户名,用于 zkClient 连接所使用的用户名和密码,即为 kafka 创建的用户名

1.2 配置 zoo.conf 文件

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000
zookeeper.sasl.client=true

        zookeeper.sasl.client 设置为 true,开启客户端身份验证,否则zoo_jaas.conf中配置的用户名将不起作用,客户端仍然可以无 jaas 文件连接,只是带有 WARNNING 而已

1.3 导入依赖包

        因为使用的权限验证类为:org.apache.kafka.common.security.plain.PlainLoginModule,所以需要 kafka 相关 jar 包,新建文件夹 zk_sasl_lib,如下:

kafka-clients-2.4.1.jar
lz4-java-1.6.0.jar
slf4j-api-1.7.28.jar
slf4j-log4j12-1.7.28.jar
snappy-java-1.1.7.3.jar


1.4 修改 zkEnv.sh 文件

修改前:

export SERVER_JVMFLAGS="-Xmx${ZK_SERVER_HEAP}m $SERVER_JVMFLAGS"

修改后:

for jar in /Users/wjun/env/zookeeper/zk_sasl_lib/*.jar;
do
        CLASSPATH="$jar:$CLASSPATH"
done

export SERVER_JVMFLAGS="-Xmx${ZK_SERVER_HEAP}m $SERVER_JVMFLAGS -Djava.security.auth.login.config=/Users/wjun/env/zookeeper/conf/zoo_jaas.conf"

        重启 Zookeeper 服务即可

二、Kakfa 配置 SASL

2.1 新建 kafka_server_jaas.conf 文件

        kafka_server_jaas.conf 文件名和存放路径没有要求,一般放置在${KAFKA_HOME}/config目录下

KafkaServer {
 org.apache.kafka.common.security.plain.PlainLoginModule required
 username="admin"
 password="admin@123"
 user_admin="admin@123"
 user_producer="producer@123"
 user_consumer="consumer@123";
};
Client{
 org.apache.kafka.common.security.plain.PlainLoginModule required
 username="kafka"
 password="kafka@123";
};

        KafkaServer.username、KafkaServer.password 为 broker 内部通信的用户名密码,同上
KafkaServer.user_xxx 其中 xxx 必须和 KafkaServer.username 配置的用户名一致,密码也一致
KafkaServer.user_producer、KafkaServer.user_consumer 为了之后的 ACL 做准备,达到消费者生产者使用不同账号且消费者账号只能消费数据,生产者账号只能生产数据
        Client.username、Client.password 填写 Zookeeper 中注册的账号密码,用于 broker 与 zk 的通信(若 zk 没有配置 SASL 可以忽略、若 zookeeper.sasl.client 为 false 也可以忽略只是带有,日志如下)

[2021-06-29 17:14

最低0.47元/天 解锁文章
JKjiang123
关注
专栏目录
Kafka安全认证-SASL
麦田里的守望者-蒋中洲【相信相信的力量】
08-24 1372
Kafka Sasl认证部署
ZooKeeper部署全攻略——ACL控制
bbsxb520的博客
07-03 329
简单的ACL控制配置
Kafka 安全认证权限控制
小王是个弟弟
07-20 1万+
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
Kafka中如何配置和管理ACL(访问控制列表)?
最新发布
qq_33240556的博客
09-19 572
Apache Kafka 使用访问控制列表(ACLs)来提供细粒度的安全性,允许你定义哪些用户可以对特定的主题、消费者组或集群执行何种操作。
Kafka 安全认证权限控制【详解】
qq_27480007的博客
07-05 8120
Kafka 安全认证权限控制,Kafka使用SASL_PLAINTEXT用户认证权限
Kafka安全模式之身份认证
weixin_42556307的博客
02-27 3379
SASL-PLAIN方式是一个经典的用户名/密码的认证方式,其中用户名和密码是以明文形式保存在服务端的JAAS配置文件中的,当客户端使用PLAIN模式进行认证时,密码是明文传输的,因此安全性较低,但好处是足够简单,方便我们对其进行二次开发,在0.10版本引入。在kafka身份认证的过程中,需要的principal,keytab,ServiceName等信息均配置在jaas文件中,因此保证认证的服务可以读取到正确的文件及正确的配置是kafka安全模式下认证的核心。解决办法是找第三方提供。
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 8526
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
实战:kafkazookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 7307
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证权限校验ACL
kafka_2.12-2.2.2+zookeeper-3.4.13
07-18
同时,Zookeeper还支持ACL(访问控制列表),保证数据的安全性。 3. **KafkaZookeeper的协作**: - **集群发现**:Kafka的生产者和消费者都需要知道哪些服务器是可用的,Zookeeper提供这个信息。 - **偏移量...
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_84302369的博客
05-01 1654
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。
kafka连接zookeeper ACL
07-02
ZooKeeper 中的 Access Control List (Acl) 是一种权限控制机制,用于定义谁(Principal, 如用户或角色)有权执行哪些操作(Operation, 如创建节点、读取节点等)在哪个资源(Path, 即节点路径)上。在 Kafka 中,...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
kafka安全认证与授权(SASL-PLAIN)
Innocence_0的博客
02-25 1558
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…这是通过在规则末尾添加“/L”来完成的。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
Kafka SASL安全认证机制与ACL用户权限控制
10-08 2012
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能,以提高kafka集群的安全性。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。
kafka权限控制-Acl
chuiyan0987的博客
07-27 946
介绍 Acl表示对一个资源的访问权限。它由Resource和Acl组成。 Resource表示一个具体的资源。 Acl表示权限,由主体principal,是否允许permissionType,主机host,操作operation组成。 Resource // ResourceType表示资源...
kafka权限认证
热门推荐
shengjk1的博客
11-14 2万+
背景: 最近公司因为用的云服务器,需要保证kafka安全性。可喜的是kafka0.9开始,已经支持权限控制了。网上中文资料又少,特此基于kafka0.9,记录kafaka的权限控制。 下面各位看官跟着小二一起开始kafak权限控制之旅吧!嘎嘎嘎!介绍: kafka权限控制整体可以分为三种类型: 1.基于SSL 2.基于Kerberos(本文不与讨论) 3.基于acl的 本文主要基于1
kafka Acl权限管理
weixin_40496191的博客
04-16 5872
文章目录一、背景二、操作指令三、ACL权限整合springboot四、Acl整合java代码 一、背景 实现对主题的订阅控制,动态分配客户端的读写权限。 二、操作指令 创建writer用户,密码是writer-pwd: ./kafka-configs.sh --zookeeper 192.168.248.100:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=writer-pwd],SCRAM-SHA-512=[pas
Kafka集群】Kafka针对用户做ACL权限控制
后端研发工程师Marion的博客
05-18 4603
Kafka 3.3.1 中,可以使用 ACL(Access Control List)控制用户对 topic 的访问权限。在命令行中执行以下命令创建一个名为my-topic其中是一种内置的 ACL 校验器,User:admin是一组超级管理员。如果没有在配置文件中指定 super.users,则只有在 Zookeeper 上配置了访问控制时才会应用 ACL 规则。b. 为特定用户或组添加 ACL 规则现在,开发人员组可以对该 topic 进行读写操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值