Kafka部署全攻略——Kafka SASL_SCRAM安全认证实现

已于 2023-07-05 16:20:10 修改
阅读量777 收藏
点赞数
分类专栏: Kafka 文章标签: kafka 安全 分布式
于 2023-06-28 15:43:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbsxb520/article/details/131437770
版权
本文详细介绍了如何配置Kafka和Zookeeper实现SASL_SCRAM安全认证,包括新建jaas配置文件、修改配置文件、导入依赖、创建用户、重启服务以及进行认证测试。内容涵盖Zookeeper和Kafka集成版的配置步骤,确保内部通信和客户端连接的安全。
摘要由CSDN通过智能技术生成

目录

Zookeeper配置SASL

新建zoo_jaas.conf文件

配置zookeeper.properties文件(各节点均需修改)

导入依赖包

独立版zookeeper

Kafka集成版zookeeper

修改启动脚本或环境变量脚本(各节点均需修改)

独立版zookeeper

Kafka集成版zookeeper

Kafka配置SASL_SCRAM

新建kafka_server_jaas.conf文件

配置server.properties文件(各节点均需修改)

修改启动脚本(各节点均需修改)

新增scram用户

重启zookeeper及kafka

测试SASL_SCRAM认证

为主题、生产、消费脚本创建认证配置文件

 开始测试

 以下以kafka集成zookeeper为例

Zookeeper配置SASL

新建zoo_jaas.conf文件

  • 进入zookeeper配置目录
cd /opt/tools/kafka_2.13-3.2.1/config
  • 新建zoo_jaas.conf文件
vim zoo_jaas.conf

添加如下内容:

Server {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="rbt@123456"
    user_kafka="kafka@123";
};

  • 说明
    • Server.username、Server.password为 Zookeeper 内部通信的用户名和密码,因此保证每个 zk 节点该属性一致即可
    • Server.user_xxx 中 xxx 为自定义用户名,用于 zkClient 连接所使用的用户名和密码,即为 kafka 创建的用户名
    • 最后一个账号密码配置的末尾,不可缺失“;”分号。即该配置文件中需有两个“;”分号。
  • 复制配置文件到每个节点
scp zoo_jaas.conf root@big2:/opt/tools/kafka_2.13-3.2.1/config

配置zookeeper.properties文件(各节点均需修改)

独立版zookeeper的配置文件为zoo.conf,kafka集成版的配置文件为zookeeper.properties。

  • 添加如下配置项
authProvidential.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000
zookeeper.sasl.client=true

导入依赖包

独立版zookeeper

因为使用的权限验证类为:org.apache.kafka.common.security.plain.PlainLoginModule,所以需要导入Kafka相关jar包,kafka-clients相关jar包,在部署kafka服务下的libs目录中可以找到,根据kafka不同版本,相关jar包版本会有所变化。所需要jar包如下,在zookeeper下创建目录zk_sasl_lib将jar包放入(目录名与位置可以随便,后续引用指定即可)

 

  • 拷贝jar文件到zk_sasl_lib目录

 

  • 编辑zookeeper环境变量脚本
vim bin/zkEnv.sh

添加如下内容:

for i in /apps/apache-zookeeper-3.8.1-bin/zk_sasl_lib/*.jar;
do
    CLASSPATH="$i:$CLASSPATH"
done

Kafka集成版zookeeper

原生具备,无需配置。

修改启动脚本或环境变量脚本(各节点均需修改)

修改启动脚本或环境变量脚本,使之加载zoo_j

最低0.47元/天 解锁文章
家里有只小螃蟹
关注
专栏目录
配置好的kafka_2.12-2.8.0 + SCRAM-SHA-256
12-02
在版本2.8.0中,它提供了一种安全的身份验证机制——SCRAM-SHA-256,这是用于用户认证的一种安全方法。在本文中,我们将深入探讨Kafka的配置、SCRAM-SHA-256的工作原理以及如何在Kafka集群中设置和使用它。 ### ...
Kafka动态认证SASL/SCRAM配置+整合springboot配置
weixin_52925162的博客
11-11 9006
Kafka动态认证SASL/SCRAM配置+整合springboot配置
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 2333
zookeeper和kafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
kafka动态认证 自定义认证 安全认证-亲测成功
最新发布
yinjl123的博客
09-20 1117
Kafka默认是没有安全机制的,一直在裸奔。用户认证功能,是一个成熟组件不可或缺的功能。在0.9版本以前kafka是没有用户认证模块的(或者说只有SSL),好在kafka0.9版本以后逐渐发布了多种用户认证功能,弥补了这一缺陷(这里仅介绍SASL),认证机制是SASL/PLAIN。kafka的用户认证,是基于java的jaas。所以我们需要先添加jaas服务端的配置文件。注意最后一个属性后面需要加分号!
Kafka ACL(SASL/SCRAM-SHA-256)动态权限管理【windows】
三年喂的博客
03-15 2760
Window系统下配置Kafka ACL SASL/SCRAM-SHA-256 模式动态权限管理
kafka集群搭建+权限认证SASL/SCRAM)+整合springboot
xianglinsao123的专栏
03-19 6347
1、创建kafka日志和zookeeper文件目录: /data/kafka/kafka-logs /data/zookeeper/zkdata /data/zookeeper/zklogs 2、修改kafka配置文件server.properties 2.1、将原文件重命名为server.properties_bak20220311 2.2、新建server.properties,编辑: # fixed params listeners=PLAINTEXT://10.132.105.20:9092 a
Kafka配置动态SASL_SCRAM认证
冰之杍的博客
10-12 4066
(Kafka配置动态SASL_SCRAM认证)Kafka中需要加上认证,并动态新增用户,SASL/SCRAM验证可以支持
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
vscode-kafka:用于Visual Studio Code的kafka扩展
03-10
SASL / PLAIN,SASL / SCRAM-256,SASL / SCRAM-512身份验证(Kafka 0.10+) 计划中的功能没有特定的顺序: 更多管理功能 使vscode-kafka可扩展 改善消费者DSL 更新配置 您可能还会在找到有用的信息,或者可以...
kafka概述及原理.pdf
03-01
- **身份验证**:Kafka支持对客户端的身份验证,例如通过SASL/SCRAM协议进行认证。 - **权限控制**:通过ACL(Access Control List)机制,管理员可以精细化地管理用户对资源的访问权限。 - **加密通信**:Kafka支持...
SpringBoot使用Kafka详解含完整代码
02-20
sasl-jaas-config: org.apache.kafka.common.security.scram.ScramLoginModule required username="your-username" password="your-password"; producer: retries: 0 # 重试次数 acks: all # 确认模式 ...
Kafka安全认证机制详解之SASL_SCRAM
空城的博客
01-05 3041
SASL/SCRAM 通过将认证用户信息保存在 ZooKeeper 的方式,避免了动态修改需要重启 Broker 的弊端。在实际使用过程中,可以使用 Kafka 提供的命令动态地创建和删除用户,无需重启整个集群。因此,如果打算使用 SASL/PLAIN,不妨改用 SASL/SCRAM 试试。不过要注意的是,后者是 0.10.2 版本引入的。
Kafka SASL认证与ACL配置
u010100623的博客
04-30 1981
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
鉴权kafka生产端(SCRAM
长臂人猿的博客
10-27 2398
前言 kafka官网关于sasl_scram 鉴权Kafka消费端配置 创建SCRAM Credentials 依赖zk,需要先启动zk,然后在zk中创建存储SCRAM 凭证: cd kafkacluster/kafka_2.11-1.1.1 bin/kafka-configs.sh --zookeeper zkIP1:2181,zkIP2:2181,zkIP3:2181/lxgkafka --alter --add-config 'SCRAM-SHA-256=[password=admin-secr
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1118
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Kafka SASL/SCRAM+ACL实现动态创建用户及权限控制
FaN()
01-26 9661
文章目录SASL_SCRAM+ACL实现动态创建用户及权限控制使用SASL / SCRAM进行身份验证1. 创建SCRAM Credentials创建broker建通信用户(或称超级用户)创建客户端用户fanboshi查看SCRAM证书删除SCRAM证书2. 配置Kafka Brokers客户端配置kafka-console-producerkafka-console-consumerACL配置授...
Kafka2.7.2中进行SASL_SCRAM认证配置
u010782920的博客
10-31 691
kafkasasl,scram安装 调试
Kafka 认证二:ScramLoginModule 认证及 Java 连接测试
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
10-22 4499
承接上篇,继续 Kafka 的简单帐号密码认证SASL/SCRAM 认证方式这里会多增加一步密钥注册到 Zookeeper 的操作。值得注意的是,在做 Kafka 连通性测试时,因为 Kafka 存在失败重试机制,建议用同步请求,配置。Plain 模式的 SASL 安全认证实践起来比较容易,主要就是注意客户端和服务端协议类型的一致。即指定 SASL 的安全认证方式为 SCRAM,这是一种加密算法。它默认是一分钟,如果需要通过页面配置 Kafka 信息,这个默认时间是不友好的。
Kafka安全认证-Kerberos&SCRAM
麦田里的守望者-蒋中洲【相信相信的力量】
02-26 862
配置SASL/PLAIN验证,实现了对Kafka的权限控制。但SASL/PLAIN验证有一个问题:只能在JAAS文件KafkaServer中配置用户,一但Kafka启动,无法动态新增用户。SASL/SCRAM验证可以动态新增用户并分配权限安装步骤.
kafka2.7 安装设置SASL_PLAINTEXT
04-05
SASL_PLAINTEXT是一种Kafka安全机制,可以在传输数据时进行身份验证和加密。下面是在Kafka2.7中设置SASL_PLAINTEXT的步骤: 1. 安装Kafka2.7 首先需要安装Kafka2.7,可以根据自己的操作系统下载安装包或使用源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值