解决Kafka3.4版本授权认证失效的问题

已于 2023-09-15 12:16:51 修改
阅读量564 收藏 1
点赞数 2
文章标签: kafka spring 后端
于 2023-09-01 12:30:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c2978663496/article/details/132621421
版权

环境信息

Kafka版本:3.4.1

授权认证方式:SASL Plaintext

问题现象

1、新建的用户可以访问到所有的topic,设置ACL策略无法生效;

2、在server.properties文件配置鉴权实现类后,admin用户登录也无法访问任何topic,配置如下:

authorizer.class.name=kafka.security.authorizer.AclAuthorizer

解决方法

查阅了Kafka官网3.4.x版本文档关于授权认证的描述,官方文档链接

对照官方文档进行总结一下:

1、在server.properties文件中指定鉴权策略的实现类

authorizer.class.name=kafka.security.authorizer.AclAuthorizer

AclAuthorizer是Kafka3的鉴权实现类,如果配置为Kafka2的SimpleAclAuthorizer会提示ClassNotFound异常

2、在server.properties文件中配置默认的鉴权策略

allow.everyone.if.no.acl.found=false

参数说明下:

True:超级用户可以访问所有Topic,其他用户默认可以访问所有资源,可以通过自定义Denied策略过限制访问指定的Topic。

False:超级用户可以访问所有Topic,其他用户默认无任何资源访问权限,可以通过自定义Allowed策略开放指定的Topic。

3、配置超级用户

super.users=User:admin;User:Alice

配置完成后,使用admin超级用户访问kafka,可以看到所有的Topic:

添加test用户:

bin/kafka-configs.sh --zookeeper 192.168.110.x:2181 --alter --add-config 'SCRAM-SHA-256=[password=Test_0901],SCRAM-SHA-512=[password=Test_0901]' --entity-type users --entity-name test

授权test用户对Topic:test的读写权限:

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.110.x:2181 -add --allow-principal User:test  --operation Read --operation Write --topic test

消费数据还需要执行下面的授权脚本:

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.110.x:2181 --add --allow-principal User:test --consumer --topic dportal-show-group --group '*'

使用test用户访问Kafka:

题外:Kafka3的版本官网建议授权时通过--bootstrap-server指定broker地址,官网给出的参考命令如下:

bin/kafka-acls.sh --bootstrap-server localhost:9092 --add --allow-principal User:Bob --allow-principal User:Alice --allow-host 198.51.100.0 --allow-host 198.51.100.1 --operation Read --operation Write --topic Test-topic

chang_codest
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jdk1.8+kafka3.2 linux版本
08-03
适合搭建kafka环境所需要的jdk1.8linux版本,以及kafka3.2版本
Apache Kafka 版本演进及特性介绍
01-07
虽然仍有一部分Kafka的老用户在使用 0.8.x 版本,但 Kafka 0.8.x 确实是比较老的版本了。如果不是对Kafka非常熟悉,很容易忽略各个版本之间的差异,也不会清楚某个版本的特点及使用方式。本文我们就一起学习下Kafka...
kafka3.4.x配置sasl认证
最新发布
Geminates
02-29 913
zookeeper安装目录:/usr/local/bin/xx/zookeeper。背景这里kafka使用的是单独部署的zookeeper 需要走认证配置。我这里使用的zookeeper版本是3.8.3 kafka 3.4.0。kafka安装目录:/usr/local/bin/xx/kafka
Kafka自带的Zookeeper未授权访问漏洞
qq_36923426的博客
12-18 7959
漏洞描述 Zookeeper的默认开放端口是2181.Zookeeper安装部署之后默认情况下不需要任何身份验证。造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏。 修复建议 一、添加访问控制,配置服务来源地址限制策略(方便实惠、干净卫生) 在zookeeper.properties中添加clientPortAddress=127.0.0.1 二、增加Zookeeper的认证配置(麻烦) 1)增加认证用户 addauth digest user1
Spring-kafka入门使用Demo(超详细)---------无授权认证方式
a090300的博客
08-16 2797
Spring-kafka入门使用Demo(超详细)---无安全认证
解决Docker容器连接 Kafka 连接失败问题
拾级而上
03-09 5569
提出问题 近日助友 Docker 部署 Kafka 服务,服务日志启动正常,但客户端却无法连接 往日曾踩过此坑,然方法均源于博客,其语焉不详,不知为何不行,亦不知为何行,印象不甚深刻,耗费大量时间 为避此坑,特地学习官方文档相关章节,让我寻到珠丝马迹,请听我娓娓道来~ 如嫌篇幅较长,可跳过验证,直奔结论 本文主要记录为何会出现无法连接到 Broker 的原因,想必看完本文你会知道该怎么做...
kafka权限认证
热门推荐
shengjk1的博客
11-14 2万+
背景: 最近公司因为用的云服务器,需要保证kafka的安全性。可喜的是kafka0.9开始,已经支持权限控制了。网上中文资料又少,特此基于kafka0.9,记录kafaka的权限控制。 下面各位看官跟着小二一起开始kafak权限控制之旅吧!嘎嘎嘎!介绍: kafka权限控制整体可以分为三种类型: 1.基于SSL 2.基于Kerberos(本文不与讨论) 3.基于acl的 本文主要基于1
kafka 开启认证授权
卷心菜投手
10-10 3520
kafka Kraft 模式 用户名密码 认证
Python confluent kafka客户端配置kerberos认证流程详解
01-19
kafka认证方式一般有如下3种: 1.SASL/GSSAPI 从版本0.9.0.0开始支持 2.SASL/PLAIN 从版本0.10.0.0开始支持 3.SASL/SCRAM-SHA-256 以及 SASL/SCRAM-SHA-512 从版本0.10.2.0开始支持 其中第一种SASL/GSSAPI的认证...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
springboot - 2.7.3版本 - (七)整合Kafka
09-30
springboot中使用kafka,含安装包
kafka权限认证 topic权限认证 权限动态认证-亲测成功
yinjl123456的博客
11-20 1484
1、Kafka的权限分类身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。上一篇博文介绍了连接的身份认证。权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限。
修复zookeeper未授权访问漏洞
qq_28392947的博客
01-12 1640
【代码】修复zookeeper未授权访问漏洞。
实战:kafka、zookeeper SASL+ACL实现动态权限认证授权
u011618288的博客
02-18 6477
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
kafka启动报错:java.lang.ClassNotFoundException:kafka.security.auth.SimpleAclAuthorizer
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-30 1478
2)修改kafka.security.auth.SimpleAclAuthorizer为kafka.security.authorizer.AclAuthorizer后,重启启动kafka后,恢复正常。某次现场启动kafka服务时报错如下:java.lang.ClassNotFoundException:kafka.security.auth.SimpleAclAuthorizer。
【漏洞复现】Apache Spark 未授权访问漏洞
做自己喜欢的事,并将其发挥到极致!
08-31 3949
Apache Spark 未授权访问漏洞,详情请点击内容进入......
Kafka可视化管理工具kafka-manager部署安装和使用
qq_36306519的博客
05-03 1万+
Kafka可视化管理工具kafka-manager部署安装和使用
kafka开kerberos认证报错the client is being asked for a password
鸣一的专栏
01-14 5627
Kafka工程 且开 kerberos 时,遇到报错:Could not login: the client is being asked for a password, but the Kafka client code does not currently support obtaining a password from the user.
如何解决kafka的堆积问题
03-06
对于kafka的堆积问题,可以从以下几个方面入手解决: 1. 调整kafka的配置参数,如增加分区数、调整消息大小等,以提高kafka的吞吐量和处理能力。 2. 增加kafka集群的节点数,以提高集群的并发处理能力。 3. 使用消费者组来分摊消费压力,以避免单个消费者无法处理大量消息的情况。 4. 使用定时任务或者其他方式,定期清理过期的消息,以减少kafka的存储压力。 5. 对于特别重要的消息,可以采用备份机制,以保证消息的可靠性和不丢失。 以上是一些常见的解决kafka堆积问题的方法,具体的解决方案需要根据实际情况进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值