环境信息
Kafka版本:3.4.1
授权认证方式:SASL Plaintext
问题现象
1、新建的用户可以访问到所有的topic,设置ACL策略无法生效;
2、在server.properties文件配置鉴权实现类后,admin用户登录也无法访问任何topic,配置如下:
authorizer.class.name=kafka.security.authorizer.AclAuthorizer
解决方法
查阅了Kafka官网3.4.x版本文档关于授权认证的描述,官方文档链接
对照官方文档进行总结一下:
1、在server.properties文件中指定鉴权策略的实现类
authorizer.class.name=kafka.security.authorizer.AclAuthorizer
AclAuthorizer是Kafka3的鉴权实现类,如果配置为Kafka2的SimpleAclAuthorizer会提示ClassNotFound异常
2、在server.properties文件中配置默认的鉴权策略
allow.everyone.if.no.acl.found=false
参数说明下:
True:超级用户可以访问所有Topic,其他用户默认可以访问所有资源,可以通过自定义Denied策略过限制访问指定的Topic。
False:超级用户可以访问所有Topic,其他用户默认无任何资源访问权限,可以通过自定义Allowed策略开放指定的Topic。
3、配置超级用户
super.users=User:admin;User:Alice
配置完成后,使用admin超级用户访问kafka,可以看到所有的Topic:
添加test用户:
bin/kafka-configs.sh --zookeeper 192.168.110.x:2181 --alter --add-config 'SCRAM-SHA-256=[password=Test_0901],SCRAM-SHA-512=[password=Test_0901]' --entity-type users --entity-name test
授权test用户对Topic:test的读写权限:
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.110.x:2181 -add --allow-principal User:test --operation Read --operation Write --topic test
消费数据还需要执行下面的授权脚本:
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.110.x:2181 --add --allow-principal User:test --consumer --topic dportal-show-group --group '*'
使用test用户访问Kafka:
题外:Kafka3的版本官网建议授权时通过--bootstrap-server指定broker地址,官网给出的参考命令如下:
bin/kafka-acls.sh --bootstrap-server localhost:9092 --add --allow-principal User:Bob --allow-principal User:Alice --allow-host 198.51.100.0 --allow-host 198.51.100.1 --operation Read --operation Write --topic Test-topic