【kafka系列教程46】kafka SASL验证

最新推荐文章于 2024-09-11 06:03:35 发布
最新推荐文章于 2024-09-11 06:03:35 发布
阅读量733 收藏 2
点赞数 1
分类专栏: 消息中间件 文章标签: kafaka mq java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dcm19920115/article/details/93390287
版权
本文档详细介绍了如何在Kafka中配置SASL认证,包括JAAS配置、SASL配置和使用SASL/Kerberos认证的步骤。内容涵盖了Kafka broker和客户端的SASL设置,以及GSSAPI、PLAIN、SCRAM-SHA-256和SCRAM-SHA-512等SASL机制的使用方法。
摘要由CSDN通过智能技术生成

使用SASL认证

1. JAAS配置

Kafka使用Java认证和授权服务(JAAS)进行SASL配置。

  1. 为broker配置JAAS

    KafkaServer是每个KafkaServer/Broker使用JAAS文件中的部分名称。本节为broker提供了SASL配置选项,包括进行broker之间通信所需的任何SASL客户端连接。

    客户端部分用于验证与zookeeper的SASL连接。它还允许broker在zookeeper节点上设置SASL ACL。并锁定这些节点,以便只有broker可以修改它。所有的broker必须有相同的principal名称。如果要使用客户端以外的名称,设置zookeeper.sasl.client(例如,-Dzookeeper.sasl.client = ZkClient)。

    默认情况下,Zookeeper使用“zookeeper”作为服务名称。如果你需要修改,设置zookeeper.sasl.client.user(例如,-Dzookeeper.sasl.client.username=zk)

  2. Kafka客户端的JAAS配置

    客户端可以使用客户端配置属性sasl.jaas.config或使用broker类似的静态JAAS配置文件配置JAAS。

    1. JAAS配置使用客户端配置属性

      客户端可以将JAAS配置指定为生产者或消费者属性,而不创建物理配置文件。 此模式还使同一个JVM中的不同生产者和消费者通过为每个客户端指定不同的属性来使用不同的凭据。 如果指定了静态JAAS配置系统属性java.security.auth.login.config和客户端属性sasl.jaas.config,将使用客户端属性。

      请参阅GSSAPI(Kerberos),PLAIN或SCRAM的配置例子。

    2. 使用静态配置文件的JAAS配置

      使用静态JAAS配置文件来配置客户端上的SASL认证。

      1. 添加一个名为KafkaClient的客户端登录部分的JAAS配置文件。 在KafkaClient中为所选机制配置登录模块,如设置GSSAPI(Kerberos),PLAIN或SCRAM的示例中所述。 例如,GSSAPI凭据可以配置为: 
           KafkaClient {
   com.sun.security.auth.module.Krb5LoginModule required
   useKeyTab=true
   storeKey=true
   keyTab="/etc/security/keytabs/kafka_client.keytab"
   principal="kafka-client-1@EXAMPLE.COM";
   };
      2. 将JAAS配置文件位置作为JVM参数传递给每个客户端JVM。 例如: 
        -Djava.security.auth.login.config=/etc/kafka/kafka_client_jaas.conf

2. SASL配置

SASL可以使用PLAINTEXT或SSL作为传输层,分别使用安全协议SASL_PLAINTEXT或SASL_SSL。 如果使用SASL_SSL,则还必须配置SSL。

  1. SASL机制

    Kafka支持一下的SASL机制:

    • GSSAPI (Kerberos)
    • PLAIN
    • SCRAM-SHA-256
    • SCRAM-SHA-512

  2. 为Kafka broker配置SASL

    1. 在server.properteis配置一个SASL端口,SASL_PLAINTEXT或SASL_SSL至少增加一个到listeners,用逗号分隔:

       listeners=SASL_PLAINTEXT://host.name:port

      如果你只配置一个SASL端口(如果你需要broker使用SASL互相验证),那么需要确保broker之间设置相同的SASL协议:

        security.inter.broker.protocol=SASL_PLAINTEXT (or SASL_SSL)

    2. 选择一个或多个支持的机制,并通过以下的步骤为机器配置SASL。在broker之间启用多个机制:

  3. 为Kafka客户端配置SASL

    SASL仅支持新的java生产者和消费者,不支持老的API。

    要在客户端上配置SASL验证,选择在broker中启用的客户端身份验证的SASL机制,并按照以下步骤配置所选机制的SASL。

3. 使用SASL/Kerberos认证

  1. 预备知识

    1. Kerberos

      如果你已在使用Kerberos(如,使用Active Directory),则无需安装重新安装。否则,你将需要安装一个,Linux供应商有Kerberos安装和配置的简短说明(UbuntuRadhat)。请注意,如果你使用的是Oracle Java,你需要下载java版本的JCE策略文件,将它们复制到 $JAVA_HOME/jre/lib/security中(注意:必须替换!!).

    2. 创建Kerberos Principals

      如果你使

最低0.47元/天 解锁文章
dagai888
关注
专栏目录
(二)Kafka 安全之使用 SASL 进行身份验证 —— SASL/Kerberos 验证
流华追梦的专栏
06-25 1061
接上一篇《(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置》,本文从第四节开始。
kafka sasl java_Kafka SASL 安全认证
weixin_32563347的博客
02-27 1459
java client 中添加 SASL 设置信息:Java client consumer properties配置.png注意 sasl.jaas.config 配置中的分号必不可少。package kafka;import java.time.Duration;import java.util.Arrays;import java.util.Properties;import org.apa...
kafka使用SASL认证
热门推荐
挖矿的小强的博客
12-03 2万+
1. JAAS配置 Kafka使用Java认证和授权服务(JAAS)进行SASL配置。 为broker配置JAAS KafkaServer是每个KafkaServer/Broker使用JAAS文件中的部分名称。本节为broker提供了SASL配置选项,包括进行broker之间通信所需的任何SASL客户端连接。 客户端部分用于验证与zookeeper的SASL连接。它还允许broke...
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
最新发布
2401_86951311的博客
09-11 1235
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
kafka安全认证与授权(SASL-PLAIN)
wangluoanquan111的博客
02-22 2248
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。在每个Kafka broker的配置目录中添加一个经过适当修改的JAAS文件,类似于下面的文件,在本例中,我们将其称为kafka_server_jaas.conf。R匹配,则R没有关联的acl,因此除了超级用户之外,任何人都不允许访问R。
Kafka:安全认证SASL
大小鱼鱼鱼鱼鱼
06-04 1232
kafka安装部署省略… 首先需要在config目录下新建文件kafka_server_jaas.conf,配置如下 KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin" user_admin...
kafka_2.11-1.1.0 配置 SASL_PLAINTEXT 认证方式
qq_44912603的博客
12-18 1886
前些日子要封装一个kafka的客户端驱动,配置了下kafka环境,发现配置复杂度完爆rabbitmq很多倍啊,而且发布订阅模式使用起来也很麻烦,可能就胜在分布式了吧。 kafka需要java环境,自行安装java sdk 1.8+. http://kafka.apache.org/downloads 官方加载安装包,当前为kafka_2.11-1.1.0.tgz (新版kafka包内集成了zookeeper,直接启动即可) 解压缩后kafka目录下文件: 配置: config路径下配置文件: consume
kafka使用笔记-librdkafka支持sasl认证-附件资源
03-02
kafka使用笔记-librdkafka支持sasl认证-附件资源
KafKa 开启 SASL 验证
41981DC的博客
08-12 2896
kafka 配置 sasl 权限认证
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
Kafka安全认证机制详解之SASL_PLAIN
空城的博客
01-02 3277
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。
安装 kafka 配置 sasl 认证
weixin_41565755的博客
01-23 6652
安装 kafka 配置 sasl 认证
Kafka SASL认证与ACL配置
u010100623的博客
04-30 1966
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
kafka sasl java_Kafka 集群配置SASL+ACL
weixin_29345939的博客
02-27 406
** Kafka 集群配置SASL+ACL测试环境:**系统: CentOS 6.5 x86_64JDK : java version 1.8.0_121kafka: kafka_2.11-1.0.0.tgzzookeeper: 3.4.5ip: 192.168.49.161 (我们这里在一台机上部署整套环境)kafka 名词解析:Broker: Kafka 集群包含一个或多个服务器,这种服务器...
kafka安装部署-前面部分
wt6002的博客
09-03 385
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
sasl java_kafka sasl & java api
weixin_42461035的博客
02-13 131
第一种Properties props = new Properties();props.put(ProducerConfig.BOOTSTRAP_SERVERS_CONFIG, “node01:9092”);props.put(“acks”, “all”);props.put(“retries”, 0);props.put(“batch.size”, 16384);props.put(“ling...
(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置
流华追梦的专栏
06-24 2487
SASL 是用来认证 C/S 模式也就是服务器与客户端的一种认证机制,全称 Simple Authentication and Security Layer。这就是一种凭据认证方式。通俗的话来讲就是让服务器知道连接进来的客户端的身份是谁。比如凭借阅证到图书馆借书,而每个借阅证都有独立的 ID,通过 ID 定位谁是谁,而不是特别关心谁拿到了借阅证,只需要正确的借阅证即可。所以 SASL 就是服务器存储了客户端的身份证书和如何校验密码是否正确,而且仅在于身份认证过程,认证完毕后即可进行相关的服务操作。
kafka sasl java_使用SASL_PLAINTEXT进行Kafka用户身份验证
weixin_39981360的博客
02-27 1050
我正在尝试在Kafka中实现安全性,以使用用户名和密码对客户端进行身份验证 . jaas配置文件配置正确 . 我首先启动zookeeper,然后只启动一个kafka节点 . 但是kafka无法从以下错误开始:[2017-08-07 13:07:08,029] INFO Registered broker 0 at path /brokers/ids/0 with addresses: EndPo...
java消费kafka数据 sasl_ssl
weixin_31230841的博客
07-26 121
Java消费Kafka数据使用SASL_SSL认证 作为一名经验丰富的开发者,我很高兴能帮助刚入行的小白理解如何在Java中使用SASL_SSL认证来消费Kafka数据。以下是实现这一功能的步骤和代码示例。 步骤概览 以下是实现Java消费Kafka数据使用SASL_SSL认证的步骤概览: 步骤 描述 1 添...
Kafka安全增强:SSL与SASL验证
"这篇文档是关于Kafka的Python编程指南,特别关注了安全方面的内容,包括使用SSL或SASL进行客户端验证以及Kafka不同版本支持的安全机制。文档还覆盖了Kafka的各种版本,从0.7.x到1.0,并详细介绍了Kafka的API、配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值