Kafka的认证

最新推荐文章于 2024-05-11 09:31:18 发布
最新推荐文章于 2024-05-11 09:31:18 发布
阅读量4.4k 收藏 7
点赞数 1
分类专栏: 中间件 文章标签: kafka java 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Linux_newbie_rookie/article/details/126469044
版权

Kafka支持基于SSL和基于SASL的安全认证机制。

基于SSL的认证主要是指Broker和客户端的双路认证。即客户端认证broker的证书,broker也认证客户端的证书。

Kafka还支持通过SASL做客户端认证。SASL是提供认证和数据安全服务的框架。Kafka支持的SASL机制有5种:
1.GSSAPI:也就是 Kerberos 使用的安全接口。
2.PLAIN:是使用简单的 用户名/密码 认证的机制。(不能动态的增减kafka用户,必须重启 Kafka 集群才能令变更生效,因为认证用户信息全部保存在静态文件中)
3.SCRAM:主要用于解决PLAIN机制安全问题的新机制。
4.OAUTHBEARER:是基于 OAuth2 认证框架的新机制。
5.Delegation Token:补充现有SASL机制的轻量级认证机制。



KAFKA认证步骤:

SASL/SCRAM-SHA-256 配置实例

创建用户:

./kafka-configs.sh --bootstrap-server 192.168.1.10:9192 --alter --add-config 'SCRAM-SHA-256=[password=admin],SCRAM-SHA-512=[password=admin]' --entity-type users --entity-name admin

./kafka-configs.sh --bootstrap-server 192.168.1.10:9192 --alter --add-config 'SCRAM-SHA-256=[password=reader],SCRAM-SHA-512=[password=reader]' --entity-type users --entity-name reader

./kafka-configs.sh --bootstrap-server 192.168.1.10:9192 --alter --add-config 'SCRAM-SHA-256=[password=write],SCRAM-SHA-512=[password=write]' --entity-type users --entity-name write


查看创建的用户:

bin/kafka-configs.sh --zookeeper 192.168.1.10:2181 --describe --entity-type users  --entity-name write


创建JAAS文件:(为每个broker都需要创建)

KafkaServer {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin";
};
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin";
};

修改server.properties 文件

sasl.enabled.mechanisms=SCRAM-SHA-256
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
security.inter.broker.protocol=SASL_PLAINTEXT
listeners=SASL_PLAINTEXT://192.168.1.10:9092


启动kafka:
修改kafka-run-class.sh (大致219行)

if [ -z "$KAFKA_OPTS" ]; then
  KAFKA_OPTS="-Djava.security.auth.login.config=/zb/kafka/kafka_2.12-2.7.2-test1/broker.jaas"
fi

启动:
nohup bin/kafka-server-start.sh config/server.properties &


测试:


发送消息:
创建一个producer.conf配置文件:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="writer" password="writer";

启动生产者:

bin/kafka-console-producer.sh --broker-list 192.168.1.10:9192,192.168.1.10:9292,192.168.1.10:9392 --topic kl-test1 --producer.config /zb/kafka/kafka_2.12-2.7.2-test1/producer.conf

消费消息:
创建一个consumer.conf 的脚本

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="reader" password="reader";

启动消费者:

bin/kafka-console-consumer.sh --bootstrap-server 192.168.1.10:9192,192.168.1.10:9292,192.168.1.10:9392 --topic kl-test1 --from-beginning --consumer.config /zb/kafka/kafka_2.12-2.7.2-test1/consumer.conf 


查看topic,创建管理者认证:
创建一个admin配置文件:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256
./bin/kafka-topics.sh --bootstrap-server 192.168.1.10:9192 --command-config /zb/kafka/kafka_2.12-2.7.2-test1/admin_sals.conf --list

动态增减用户:

删除用户

bin/kafka-configs.sh --zookeeper 192.168.1.10:2181 --alter --delete-config 'SCRAM-SHA-256' --entity-type users --entity-name writer
bin/kafka-configs.sh --zookeeper 192.168.1.10:2181 --alter --delete-config 'SCRAM-SHA-512' --entity-type users --entity-name writer

添加新用户 

bin/kafka-configs.sh --bootstrap-server 192.168.1.10:9192 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=new_writer]' --entity-type users --entity-name new_writer


 

Linux_newbie_rookie
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kafka安全模式之身份认证
weixin_42556307的博客
02-27 2416
SASL-PLAIN方式是一个经典的用户名/密码的认证方式,其中用户名和密码是以明文形式保存在服务端的JAAS配置文件中的,当客户端使用PLAIN模式进行认证时,密码是明文传输的,因此安全性较低,但好处是足够简单,方便我们对其进行二次开发,在0.10版本引入。在kafka身份认证的过程中,需要的principal,keytab,ServiceName等信息均配置在jaas文件中,因此保证认证的服务可以读取到正确的文件及正确的配置是kafka安全模式下认证的核心。解决办法是找第三方提供。
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 8226
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证,2024年最新万字长文轻松彻底入门Flutter
最新发布
2301_77121488的博客
05-11 513
①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等①Windows系统常见功能和命令。
kafka 开启认证授权
卷心菜投手
10-10 4032
kafka Kraft 模式 用户名密码 认证
kafka搭建部署(信任认证/口令认证)
Xmas-Shen
06-16 755
Kafka详细单机版搭建教程,包含信任认证和口令认证两种方式。由于在学习Kafka的过程中发现详细全面的Kafka搭建及Schema Registry搭建资料较少,踩坑较多,所以输出这篇记录我的Kafka搭建过程。
kafka动态认证 自定义认证 安全认证-亲测成功
yinjl123456的博客
11-02 1102
Kafka默认是没有安全机制的,一直在裸奔。用户认证功能,是一个成熟组件不可或缺的功能。在0.9版本以前kafka是没有用户认证模块的(或者说只有SSL),好在kafka0.9版本以后逐渐发布了多种用户认证功能,弥补了这一缺陷(这里仅介绍SASL),认证机制是SASL/PLAIN。kafka的用户认证,是基于java的jaas。所以我们需要先添加jaas服务端的配置文件。注意最后一个属性后面需要加分号!
kafka安装部署-前面部分
wt6002的博客
09-03 329
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
Kafka相关知识
Android_chunhui的专栏
05-06 662
将每个Topic划分为多个分区Partition,每个分区时一组有序的消息日志,分区内每条消息都会关联一个连续的数字ID即offset,生产的一条消息只会送到一个分区上。topic是逻辑概念Partition是物理概念对用户透明,生产者只需要关心消息投递到哪个topic上消费者只需要关心在哪个topic行订阅数据。为了提高每个分区的可用性,分区也存在多个副本。图中相同颜色的分区互为副本。kafka存在两种模式:pull和pull模式。
Kafka知识点整理
子墨秋风
12-16 158
一、为什么需要消息系统 1.解耦:   允许你独立的扩展或修改两边的处理过程,只要确保它们遵守同样的接口约束。 2.冗余:   消息队列把数据进行持久化直到它们已经被完全处理,通过这一方式规避了数据丢失风险。许多消息队列所采用的"插入-获取-删除"范式中,在把一个消息从队列中删除之前,需要你的处理系统明确的指出该消息已经被处理完毕,从而确保你的数据被安全的保存直到你使用完毕。 3.扩展性:  ...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
spring-boot集成kafka
11-28
Spring for Apache Kafka提供了与Spring Boot整合的便利,通过引入`spring-kafka`和`spring-boot-starter`依赖,我们可以轻松地在Spring Boot应用中使用Kafka。添加以下依赖: ```xml <groupId>org.spring...
kafka添加ssl认证
01-07
主要是生成证书: 请先安装java和openssl. 生成证书脚本ca.sh: #!/bin/bash #Step 1 keytool -keystore /var/soft/ca/server.keystore.jks -alias localhost -validity 365 -genkey #Step 2 openssl req -new -x509 ...
kafka ssl 安全认证详细配置
06-23
kafka ssl 安全认证详细配置 Kafka SSL 安全认证Kafka 集群中的一种安全机制,旨在确保数据传输的安全性和可靠性。本文将详细介绍 Kafka SSL 安全认证的配置过程,包括环境准备、SSL 证书生成、客户端 SSL 证书...
Kafka in Action
01-26
7. **安全性与认证**:Kafka支持SSL/TLS加密和SASL认证,书中的内容可能包括如何配置这些安全机制,以保护数据传输和访问控制。 8. **监控与调优**:了解如何监控Kafka集群的性能和健康状况,以及如何根据需求进行...
kafka权限认证 topic权限认证 权限动态认证-亲测成功
yinjl123456的博客
11-20 1647
1、Kafka的权限分类身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。上一篇博文介绍了连接的身份认证。权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限。
Kafka 安全认证及权限控制【详解】
qq_27480007的博客
07-05 7890
Kafka 安全认证及权限控制,Kafka使用SASL_PLAINTEXT用户认证及权限
kafka 的 broke 和 client 之间加入 SSL 双向认证
拖垃圾的专栏
01-19 4564
参考:https://kafka.apache.org/documentation/#security 单向认证 首先实现单向的认证,即,client 对 broker 的认证。就像浏览器对服务器的认证一样。 注:密钥生成过程中的密码统一为test123。 为broke生成keystore 第一步是为集群的每台机器生成密钥和证书,可以使用java的keytool来生产。我们将生成密钥
KafkaKafka认证与授权
九师兄
08-13 6668
Kafka认证机制 概述 GSSAPI:使用的Kerberos认证,可以集成目录服务,比如AD。Kafka最小版本 0.9 PLAIN:使用简单用户名和密码形式,Kafka最小版本 0.10 SCRAM:主要解决PLAIN动态更新问题以及安全机制,Kafka最小版本 0.10.2 OAUTHBEARER:基于OAuth 2认证框架,Kafka最小版本 2.0 配置SASL\PLAIN 创建kafka_server_jaas.conf文件 这个文件是配置Broker服务端的JAAS,进入Kafka程序目录的
集群Kafka配置SASL用户名密码认证
热门推荐
ez scope
06-13 2万+
本文中配置的kafka集群为三节点,Zookeeper有4节点。两个集群相互独立。 Apache Kafka v2.11-0.10.0.0 Apache Zookeeper v3.4.8 Kafka配置SASL PLAIN用于完成基本的用户名密码身份认证。 一、Zookeeper集群配置SASL zookeeper所有节点都是对等的,只是各个节点角色可
kafka认证配置机制
05-17
Kafka提供了多种认证机制,以确保安全性。其中包括以下认证机制: 1. SSL/TLS:使用SSL或TLS进行通信加密和身份验证。 2. SASL/PLAIN:使用用户名和密码进行身份验证。 3. SASL/SCRAM:使用安全的密码哈希算法进行身份验证。 4. SASL/GSSAPI:使用Kerberos进行身份验证。 Kafka认证配置的基本步骤如下: 1. 配置Kafka Broker和Client以使用所选的认证机制。 2. 生成证书和密钥,以便在SSL/TLS中使用。 3. 配置Kafka Broker和Client以使用SSL/TLS证书和密钥。 4. 配置Kafka Broker和Client以使用SASL认证。 5. 配置Kerberos以在SASL/GSSAPI中使用。 6. 配置Kafka Broker和Client以使用SASL/SCRAM认证。 7. 验证认证配置是否正确,并测试Kafka Broker和Client之间的连接。 实际上,每种认证机制的配置方式略有不同,具体的配置方法可以参考Kafka官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值