Kafka集成Kerberos

已于 2023-03-06 23:07:54 修改
阅读量1.1k 收藏 3
点赞数 1
文章标签: kafka 大数据 java
于 2023-03-06 22:29:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47139984/article/details/129372349
版权

Kafka集成Kerberos

Kerbeos简介

Kerberos可以将认证的密钥在集群部署时事先放到可靠的节点上。集群运行时,集群内的节点使用密钥得到认证,认证通过后的节点才能提供服务。企图冒充的节点由于没有事先得到的密钥信息,无法与集群内部的节点通信。这样就防止了恶意地使用或篡改Hadoop集群的问题,确保了Hadoop集群的可靠性、安全性。

前提条件

  1. zookeeper 3.5.8
  2. kafka 2.6.0
  3. zk集成Kerberos
  4. kerberos服务正常

Kafka下载

官网下载地址 https://archive.apache.org/dist/kafka/2.6.0/kafka_2.12-2.6.0.tgz

Kafka集成Kerberos步骤

  1. 在kafka安装目录下config创建kafka-jaas.conf
#内容如下
KafkaServer {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
storeKey=true
keyTab="/etc/security/keytab/kafka.keytab"
principal="kafka/hadoop-001@TEST.COM";
serviceName="kafka"
};
KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
useTicketCache=true
keyTab="/etc/security/keytab/kafka.keytab"
principal="kafka/hadoop-001@TEST.COM";
serviceName="kafka"
};
Client {
com.sun.security.auth.module.Krb5LoginModule required
serviceName="zookeeper"
useKeyTab=true
useTicketCache=true
keyTab="/etc/security/keytab/zk.service.keytab"
principal="zookeeper/hadoop-001@TEST.COM";
};

  • KakfaServer配置代表了kafka集群中Server彼此间通信所使用的通信认证方式。

  • Client配置代表了kafka集群中Server与Zookeeper通信时的认证方式。

  • KafkaClient配置代表了命令行客户端与kafka集群通信时的认证方式。

  1. 在config/server.properties添加如下配置
advertised.listeners=SASL_PLAINTEXT://hadoop-001:9092 #对应主机名称
listeners=SASL_PLAINTEXT://hadoop-001:9092 #对应主机名称
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=GSSAPI
sasl.enabled.mechanisms=GSSAPI
sasl.kerberos.service.name=kafka

# Add acl
allow.everyone.if.no.acl.found=false
auto.create.topics.enable=false
delete.topic.enable=true
super.users=User:kafka

# Add class
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer


zookeeper.connect=hadoop-001:11001,hadoop-002:11001,hadoop-003:11001
  1. 在bin/kafka-run-class.sh脚本添加kafka jvm参数
if [ -z "$KAFKAJVMPERFORMANCEOPTS" ]; then KAFKAJVMPERFORMANCEOPTS="-server -XX:+UseG1GC -XX:MaxGCPauseMillis=20 -XX:InitiatingHeapOccupancyPercent=35 -XX:+ExplicitGCInvokesConcurrent  -Djava.awt.headless=true -Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/bdspace/kafka/config/kafka-jaas.conf  " fi
  1. 配置config/producer.properties,kafka生产者kerberos配置
security.protocol = SASL_PLAINTEXT
sasl.mechanism = GSSAPI
sasl.kerberos.service.name =kafka
  1. 配置config/consumer.properties,kafka消费者kerberos配置
security.protocol = SASL_PLAINTEXT
sasl.mechanism = GSSAPI
sasl.kerberos.service.name=kafka
  1. 配置bin/kafka-console-consumer.sh 添加认证配置文件
#kafka开启kerberos认证,为kafka服务配置认证配置文件
export KAFKA_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/bdspace/kafka/config/kafka-jaas.conf"
#kakfa添加认证机制 --consumer-property security.protocol=SASL_PLAINTEXT
exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleConsumer  --consumer-property security.protocol=SASL_PLAINTEXT "$@"
  1. 配置bin/kafka-topics.sh 添加认证配置文件
export KAFKA_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/bdspace/kafka/config/kafka-jaas.conf"

exec $(dirname $0)/kafka-run-class.sh kafka.admin.TopicCommand "$@"

Kafka集成测试

  1. 启动kafka服务
kafka/bin/kafka-server-start.sh config/server.properties
  1. 创建生产者
kafka/bin/kafka-console-producer.sh --broker-list hadoop-001:9092 --topic test --producer.config config/producer.properties
  1. 创建消费者
kafka/bin/kafka-console-consumer.sh --bootstrap-server hadoop-001:9092 --topic test --consumer.config config/consumer.properties

Kafka Acl

在配置好Kerberos后,启动Zookeeper集群和Kafka集群之后,就可以使用kafka-acls.sh脚本来操作ACL机制。

#查看ACL授权
kafka-acls.sh --list --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181
#创建授权主题
kafka-topics.sh --create --zookeeper zk1:2181,zk2:2181,zk3:2181 --replication-factor 3 --partitions 3 --kafka-acl-topic
#赋权生产者操作
kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181 --add --allow-principal User:username --operation Write --topic kafka-acl-topic
#赋权消费者操作
kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181 --add --allow-principal User:username --operation Read --topic kafka-acl-topic
#赋权消费者组操作
kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181 --add --allow-principal User:username --operation Read --group user-group
#赋权禁止生产者操作
kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181 --add --deny-principal User:username --operation Write --topic kafka-acl-topic
#删除:通过remove参数来回收相关权限
kafka-acls.sh --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181 --remove --allow-principal User:username --operation Write --topic kafka-acl-topic
kafka-acls.sh --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181 --remove --deny-principal User:username --operation Write --topic kafka-acl-topic

租户使用步骤

  1. superuser创建topic
#kafka用户执行
kafka-topics.sh --create --zookeeper zk1:2181,zk2:2181,zk3:2181 --replication-factor 3 --partitions 3 --topic kafka-user
  1. 赋权user 生产者、消费者和消费者组操作
#kafka用户执行
kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181 --add --allow-principal User:username --operation Write --topic kafka-user

kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=zk1:2181,zk2:2181,zk3:2181 --add --allow-principal User:username --operation Read --group user-group
  1. 租户生产消费命令
#生产
kafka/bin/kafka-console-producer.sh --broker-list hadoop-001:9092 --topic test --producer.config config/producer.properties
#消费
kafka/bin/kafka-console-consumer.sh --bootstrap-server hadoop-001:9092 --topic test --consumer.config config/consumer.properties
Hadoop菜鸟798
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kafka+kerberos+sasl安装部署手册
03-02
kafka+kerberos+sasl安装部署手册,带kerberos认证方式的安装部署手册
kafka实战kerberos(笔记
qq_44912603的博客
12-23 515
环境 版本:kafka_2.12-2.3.0 主机名:orchome LSB Version: :core-4.1-amd64:core-4.1-noarch Distributor ID: CentOS Description: CentOS Linux release 7.5.1804 (Core) Release: 7.5.1804 Codename: Core Linux version 3.10.0-862.el7.x86_64 (builder@kbuilder.dev.centos.org)
Kerberos安全认证-连载12-Kafka Kerberos安全配置及访问
qq_32020645的博客
06-22 4112
技术连载系列,前面内容请参考前面连载11内容:​​​​​​​​​​​​​​Kafka也支持通过Kerberos进行认证,避免非法用户操作读取Kafka中的数据,对Kafka进行Kerberos认证可以按照如下步骤实现。在kerberos服务端node1节点执行如下命令将Kafka服务主体写入到keytab文件。
Kafka配置Kerberos安全认证及与Java程序集成
on the way . . .
01-12 2262
本文主要介绍在 Kafka 中如何配置 Kerberos 认证,以及 java 使用 JAAS 来进行 Kerberos 认证连接。
Kafka 认证三:添加 Kerberos 认证详细流程
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
11-18 6125
上一章节介绍了 Kerberos 服务端和客户端的部署过程,本章节继续介绍 Kafka 添加 Kerberos 认证的部署流程,及 Java API 操作的注意事项。
大数据Kerberos认证与kafka开启Kerberos配置
m0_46168848的博客
08-06 7256
Kerberos 是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。.........
深度解析Kafka kerberos认证
justchnmm的博客
03-29 8584
Kafka kerberos动态认证及静态认证过程
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
本文将深入探讨这一主题,介绍如何利用Apache Flink与Kafka集成,以及如何通过Kerberos进行身份验证。 首先,Apache Flink是一个强大的开源流处理框架,它提供了对实时数据流的强大处理能力。而Kafka是一个分布式...
springboot工程集成华为平台带kerberos认证kafka
06-02
在本文中,我们将深入探讨如何将一个Spring Boot工程与华为平台集成,并实现带有Kerberos认证的Kafka消费者和生产者。Kafka是一款高吞吐量的分布式消息系统,广泛应用于大数据实时处理和流计算场景。Spring Boot是...
大数据安全-kerberos技术-kafka安装包,kafka版本:kafka-2.12-3.3.1.tgz
06-07
Kafka集成Kerberos,可以实现对生产者、消费者以及Kafka服务器节点的身份验证,提高整个系统的安全性。以下是使用KafkaKerberos进行安全配置的步骤: 1. **设置Kerberos环境**:首先,需要在所有参与Kafka...
华为kafka.zip
11-20
比如,可能增加了对kerberos集成kerberos是一种网络认证协议,它提供了强大的身份验证服务,可以有效防止中间人攻击和重放攻击。 总结一下,华为kafka和zookeeper的组合为企业提供了稳定、安全的实时数据处理...
Kafka3.4 SASL/kerberos/ACL 证以及 SSL 加密连接
青冬的博客
08-07 2463
kafka sasl 搭建,以及 SSL 传输加密搭建,最新版本 kafka3.4 实操。 其他节点只需要安装执行
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 764
任务环境说明:服务器场景:Server1。
Kafka 认证三:Kerberos 认证中心部署
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
11-17 2247
Kafka 支持 Kerberos的前提是部署 Kerberos 服务端,然后在 Kafka 所在的主机安装 Kerberos 客户端。Kerberos 是神话中具有三个头的保卫神犬,在没有部署 Kerberos 认证中心之前,曾看来两天这个协议的理论,但是很快就忘记了。 本周为了测试 KafkaKerberos 认证,玩了一下 Kerberos 认证中心的部署,看着 kdc 的日志文件,操作几遍 `kadmin.local` 命令后,突然就理解了 Kerberos 认证流程了。
kafka集群单独开启kerberos详细步骤
sunxunyong的博客
07-01 579
Kafka 2.8新特性可以不使用zk。使用自我管理的仲裁机制。增加describe集群的API。支持SASL、SSL双向TLS身份认证。根据IP,限制broker connection的创建速率。JDK 1.8zookeeper(可以使用DP的zk,但需指定zk的namespace,避免跟DP的kafka冲突。
Kafka-配置Kerberos安全认证(JDK8、JDK11)_kafka kerberos认证(1)
m0_74932057的博客
04-08 593
包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
kafka开启kerberos认证-服务端和客户端的交互过程】
weixin_44435562的博客
11-14 321
kafka对接kerberos组件实现客户端用户身份认证,则该认证流程是怎样的?接下来做简要分析。。。以上内容主要介绍了当kafka开启kerberos认证之后,客户端与服务端是如何交互的。
kafka架构+原理+源码
最新发布
JavaCoder_juejue的博客
07-21 1335
1.kafka架构图 2.kafka producer
kafka.kerberos.service.name=kafka
07-13
"kafka.kerberos.service.name=kafka"是Kafka中的一项配置属性,用于指定Kafka服务在Kerberos中的服务名称。 Kerberos是一个网络认证协议,用于提供强大的身份验证和安全授权机制。在KafkaKerberos集成时,需要配置相关的安全属性,包括"kafka.kerberos.service.name"。 这个属性设置为"kafka",表示Kafka服务在Kerberos中的服务名称为"kafka"。服务名称在Kerberos中用于标识不同的网络服务,以便进行正确的认证和授权。 需要确保Kafka服务与Kerberos中配置的服务名称一致,以确保Kafka能够成功进行Kerberos认证和授权。同时,还需要正确配置Kerberos相关的属性(如krb5.conf、keytab文件等)以及其他必要的安全属性,以满足所需的安全需求。 总结起来,"kafka.kerberos.service.name=kafka"配置属性指定了Kafka服务在Kerberos中的服务名称为"kafka"。这是为了确保Kafka能够正确进行Kerberos认证和授权,需要与Kerberos配置中的服务名称保持一致。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值