Kafka3.0 SASL安全认证

已于 2022-04-20 08:47:08 修改
阅读量6.7k 收藏 13
点赞数 1
文章标签: kafka
于 2022-04-20 08:39:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/binter12138/article/details/124288445
版权
本文详细介绍了Kafka 3.0中SASL/PLAIN和SASL/SCRAM两种安全认证方式。SASL/PLAIN方式需要在配置文件中写死账号密码,而SASL/SCRAM则支持动态添加用户。文中通过配置示例演示了如何设置SASL/PLAIN和SASL/SCRAM,包括Kafka、Zookeeper的配置,以及用户创建、ACL授权等步骤,确保客户端能够成功进行认证并进行生产消费操作。
摘要由CSDN通过智能技术生成

下面主要介绍Kafka两种认证方式

kafka验证方式:

  • SASL/PLAIN:不能动态添加用户配置文件写死账号密码

  • SASL/SCRAM: 可以动态的添加用户

SASL/PLAIN方式

cd /usr/local/kafka/kafka_2.12-3.0.1/bin/
## 复制一份sasl
 cp kafka-server-start.sh kafka-server-start-sasl.sh

在kafka-server-start-sasl.sh 末尾修改配置

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=/usr/local/kafka/kafka_2.12-3.0.1/config/kafka-server-jaas.conf kafka.Kafka "$@"

或者在环境变量vim /etc/profile末尾增加如下配置:

if [ "x$KAFKA_OPTS" ]; then
  export KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/kafka/kafka_2.12-3.0.1/config/kafka-client-jaas.conf"
fi

config目录下增加kafka_server_jaas.conf文件

touch kafka-server-jaas.conf

KafkaServer {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="admin"
  password="admin"
  user_admin="admin"
  user_rex="123456"
  user_alice="123456"
  user_lucy="123456";
};

进入config目录将server.properties 复制一份改为server-sasl.properties 并添加如下配置:

listeners=SASL_PLAINTEXT://localhost:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN
authorizer.class.name=kafka.security.authorizer.AclAuthorizer ## 如果kafka是3.0一下的配置authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer 因为kafka3.0开始已经移除了SimpleAclAuthorizer改用AclAuthorizer 如果还是配置SimpleAclAuthorizer 启动时会报ClassNotFoundException
super.users=User:admin

使用sasl认证启动kafka

./bin/kafka-server-start-sasl.sh -daemon config/server-sasl.properties

SASL/SCRAM方式

创建kafka用户

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181/kafka --alter --add-config 'SCRAM-SHA-256=[password=admin],SCRAM-SHA-512=[password=admin]' --entity-type users --entity-name admin # 系统用户

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181/kafka --alter --add-config 'SCRAM-SHA-256=[password=chan_test],SCRAM-SHA-512=[password=chan_test]' --entity-type users --entity-name chan # 测试用户

可以看到在zk上已经创建了对应的用户信息,并且对密码做了加密

在kafka的config目录下创建jaas文件

 touch kafka_server_jaas_scram.conf
 
 
 vim kafka_server_jaas_scram.conf
 
KafkaServer{
org.apache.kafka.common.security.scram.ScramLoginModule required
username="admin"
password="admin";
} 
# 同时启用SCRAM和PLAIN机制
sasl.enabled.mechanisms=SCRAM-SHA-256,PLAIN
# 为broker间通讯开启SCRAM机制,采用SCRAM-SHA-512算法
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
# broker间通讯使用PLAINTEXT
security.inter.broker.protocol=SAS
最低0.47元/天 解锁文章
CHAN-1
关注
Kafka3.3单机模式-Windows-SASL/PLAIN身份验证-使用自带zookeeper
weixin_68970731的博客
11-04 2191
kafka3.x版本单机模式下的sasl/plain权限设置,包含zk的权限设置、topic的权限设置、group的权限设置等
kafka使用SASL认证
热门推荐
挖矿的小强的博客
12-03 2万+
1. JAAS配置 Kafka使用Java认证和授权服务(JAAS)进行SASL配置。 为broker配置JAAS KafkaServer是每个KafkaServer/Broker使用JAAS文件中的部分名称。本节为broker提供了SASL配置选项,包括进行broker之间通信所需的任何SASL客户端连接。 客户端部分用于验证与zookeeper的SASL连接。它还允许broke...
java消费kafka数据 sasl_ssl
最新发布
weixin_31230841的博客
07-26 62
Java消费Kafka数据使用SASL_SSL认证 作为一名经验丰富的开发者,我很高兴能帮助刚入行的小白理解如何在Java中使用SASL_SSL认证来消费Kafka数据。以下是实现这一功能的步骤和代码示例。 步骤概览 以下是实现Java消费Kafka数据使用SASL_SSL认证的步骤概览: 步骤 描述 1 添...
Kafka增加安全验证安全认证SASL认证,并通过spring boot-Java客户端连接配置
Innocence_0的博客
02-25 2315
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。中的不同客户机可以通过指定不同的用户名作为不同的用户进行连接 和 中的密码。
Kafka启用SASL_PLAINTEXT动态配置JAAS文件的几种方式
russle的专栏
07-14 2万+
Kafka是广泛使用消息服务,很多情况下关于认证部分我都是默认的配置,也就是不需要用户名/密码,也不配置证书。在内网或者在项目组内部可以,但是设计的跨部门时一般处于安全考虑都需要加上认证,防止kafka被误用,产生大量垃圾信息,干扰了正常业务的运行。 Kafka提供的多种认证方式,比如SASL, 本文主要介绍启用了SASL_PLAINTEXT时,如何在kafka client配置jaas文件,以...
Kafka安全--(二).生产者与消费者认证授权
golango_cn的博客
06-09 4293
启动console-producer: [root@kafka01 bin]# ./kafka-console-producer.sh --bootstrap-server kafka01:9092 --topic first >[2021-06-08 03:33:00,972] WARN [Producer clientId=console-producer] Bootstrap broker kafka01:9092 (id: -1 rack: null) disconnected (org.ap
深度解析Kafka kerberos认证
justchnmm的博客
03-29 8633
Kafka kerberos动态认证及静态认证过程
Kafka Manager Cmak-3.0.0.5
10-17
8. **安全支持**:Cmak支持Kafka安全特性,如SASL/SSL认证,可以管理SSL证书和JAAS配置,保障数据传输的安全。 9. **多租户管理**:在大型企业环境中,Cmak可以通过权限控制,为不同的团队或项目提供独立的Kafka...
Apache Kafka 3.0.0 (kafka-3.0.0-src.tgz)
02-17
7. **安全性与认证**:Kafka 3.0.0可能会增强安全功能,如TLS加密、SASL认证和授权,确保数据传输的安全性。 8. **监控与管理工具**:Kafka带有一套管理工具,如Kafka-topics.sh和Kafka-console-consumer.sh,新...
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 2904
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
Kafka SASL/PLANTEXT ACL配置
qq_36389344的博客
07-10 1万+
1. Windows系统启动Kafka报错异常,ERROR Shutdown broker because all log dirs in /tmp/kafka-logs have failed 分析:无 方案:删除 /tmp/kafka-logs(内置ubuntu) 文件夹内所有文件, 删除提示错误的文件夹路径内文件 2. ERROR [KafkaServer id=0] Fatal error during KafkaServer startup. Prepare to shutdown (ka.
[Azure][Event hub]Kafka无法同时连接到同一个namespace下的两个Event hub
lingfy1234的博客
12-13 2215
1.问题背景 有一个应用需要用kafka消费event hub的消息,其中两个kafka consumer同时连接到了同一个namespace下的两个event hub。 kafka: consumer: consumer1: bootstrap-servers: namespace.servicebus.windows.net:9093 topic: topic1 credentials: org.apache.kafka.common.security.p
kafka】Connection to node -1) terminated during authentication. This may happen due to any of
Mrerlou的博客
10-21 4744
最近在使用java消费kafka
Kafkakafka Authentication failed credentials with SASL mech
九师兄
08-10 3547
1.背景 新下载了一个kafka ,然后执行【KafkaKafka如何开启SSL 控制台消费与生产 代码消费与生产 的创建脚本,然后 1.1 配置Kafka delete.topic.enable=true auto.create.topics.enable=true listeners=SASL_SSL://localhost:9093,PLAINTEXT://localhost:9092 advertised.listeners=SASL_SSL://localhost:9093,PLAINT.
基于JAVA实现的WEB端UI自动化 - WebDriver框架篇 - ant使用 - ant调用email 自动发送邮件
2401_84002271的博客
05-02 1041
即使是面试跳槽,那也是一个学习的过程。只有全面的复习,才能让我们更好的充实自己,武装自己,为自己的面试之路不再坎坷!今天就给大家分享一个Github上全面的Java面试题大全,就是这份面试大全助我拿下大厂Offer,月薪提至30K!我也是第一时间分享出来给大家,希望可以帮助大家都能去往自己心仪的大厂!为金三银四做准备!
Kafka配置SASL认证密码登录
Lucifer ZHAO
11-25 1434
kafka配置SASL安全认证,密码登录
kafka之ranger插件的一个坑
hncscwc的博客
12-09 1353
之前文章写过kafka的鉴权,以及集成ranger插件的配置使用。但真正在用起来后,发现里面有个坑,本文就来聊聊这个坑的情况以及排查过程。【问题现象】kafka在集成了ranger插件实现鉴权功能后,发现过一段时间后,controller无法正确连接上broker,并有如下报错:// server.log中的日志 [2022-12-0615:32:48,068] ERROR [Controlle...
KAFKA:This may indicate that authentication failed due to invalid credentials
weixin_40561490的博客
03-10 3977
This may indicate that authentication failed due to invalid credentials
kafkasasl安全认证
06-09
Kafka中可以使用SASL(Simple Authentication and Security Layer)来实现安全认证,保护Kafka集群的安全SASL提供了一种标准化的方法,用于在通信过程中进行身份验证和安全层的协商。 Kafka支持多种SASL机制,例如PLAIN、SCRAM、GSSAPI等。具体使用哪种SASL机制,取决于Kafka集群的配置和实际需求。在使用SASL认证时,需要在Kafka Broker和Client端都进行相应的配置。 在Broker端,需要配置以下参数: - security.inter.broker.protocol:设置Broker之间通信的安全协议,通常设置为SASL_PLAINTEXT或SASL_SSL。 - sasl.mechanism.inter.broker.protocol:设置Broker之间通信所使用的SASL机制。 - sasl.enabled.mechanisms:设置支持的SASL机制。 - listener.name.sasl_plaintext.sasl.server.callback.handler.class:设置SASL回调处理程序的类,该类用于验证客户端的身份。 - listener.name.sasl_ssl.sasl.server.callback.handler.class:设置SASL回调处理程序的类,该类用于验证客户端的身份。 在Client端,需要配置以下参数: - security.protocol:设置与Broker通信的安全协议,通常设置为SASL_PLAINTEXT或SASL_SSL。 - sasl.mechanism:设置客户端使用的SASL机制。 - sasl.jaas.config:设置用于身份验证的JAAS配置文件路径。 - sasl.client.callback.handler.class:设置SASL回调处理程序的类,该类用于提供客户端的凭据。 以上是一些基本参数的配置,具体的配置内容和方式可以参考Kafka官方文档或相关教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值