基于 CenterOS 7 kerberos + zookeeper + kafka 单节点配置

最新推荐文章于 2024-01-30 16:44:34 发布
最新推荐文章于 2024-01-30 16:44:34 发布
阅读量455 收藏 3
点赞数 2
分类专栏: #kafka+zeekeeper+kerberos 文章标签: kafka CenterOs7 zeekeeper kerberos kdc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19775951/article/details/102939406
版权

基于 CenterOS 7 kerberos + zookeeper + kafka 单节点配置

重要提示

**本文使用的kafka集成包版本为 2.12-2.1.1**  
**kafka 自行配置的 principal 名不要用 大写 不然不能识别**
以下为本文host 配置:

127.0.0.1	localhost	localhost.localdomain	localhost4	localhost4.localdomain4
127.0.0.1	localhost	localhost
127.0.0.1	ecs-18c7	ecs-18c7
192.168.1.212	kdc-server	kdc-server  #** 这里是自己内网IP 映射名 使用小写

一.安装 Kerberos

1.主节点安装

yum install krb5-server -y

2.其他子节点安装krb5-devel、krb5-workstation

yum install krb5-devel krb5-workstation -y

3.修改/etc/krb5.conf 为以下内容:

[logging]
	default = FILE:/var/log/krb5libs.log 
	#查看 Kerberos 验证LOG 
	kdc = FILE:/var/log/krb5kdc.log  
	admin_server = FILE:/var/log/kadmind.log
[libdefaults]
	#这里填自己的 realm
	default_realm = EXAMPLE.COM 
	dns_lookup_kdc = false
	dns_lookup_realm = false
	ticket_lifetime = 86400
	renew_lifetime = 604800
	forwardable = true
	default_tgs_enctypes = rc4-hmac
	default_tkt_enctypes = rc4-hmac
	permitted_enctypes = rc4-hmac
	udp_preference_limit = 1
	kdc_timeout = 3000
[realms]
	EXAMPLE.COM = {
		#这里为host里映射的 kdc-server
		kdc = kdc-server  
		admin_server = kdc-server
	}
[domain_realm]
	kafka = EXAMPLE.COM
	zookeeper = EXAMPLE.COM
	clients = EXAMPLE.COM
	192.168.1.212 = EXAMPLE.COM

4.修改 /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
	kdc_ports  = 88
	kdc_tcp_ports = 88

[realms]
	EXAMPLE.COM = {
		acl_file = /var/kerberos/krb5kdc/kadm5.acl
		dict_file = /usr/share/dict/words
		max_renewable_life = 7d
		max_life = 1d
		admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
		supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
		default_principal_flags = +renewable, +forwardable
	}

5.创建Kerberos数据库

kdb5_util create -r EXAMPLE.COM -s #填写自己的库名 会提示输入/确认 密码

6.设置服务启动服务,在主节点上执行

chkconfig --level 35 krb5kdc on
chkconfig --level 35 kadmin on
service krb5kdc start
service kadmin start

7.基本操作命令

kadmin.local -q "list_principals" #列出Kerberos中的所有认证用户,即principals
kadmin.local -q "addprinc zookeeper/kdc-server" #添加认证用户,需要输入/确认 密码
kadmin.local -q "xst -k keytab.keytab  zookeeper/kdc-server@EXAMPLE.COM"  #导出指定用户的秘钥到xx.keytab里面 **这里可以把不同用户的秘钥导到同一个xx.keytab里面
kinit -k -t keytab.keytab zookeeper/kdc-server@EXAMPLE.COM  #验证这个keytab文件是否能验证成功
klist -e -k -t keytab.keytab # 查看这个keytab 里面保存的秘钥

二.安装 kafka + zookeeper

1.下载安装包 官网 这里使用的zookeeper 集成在 kafka安装包内的 kafka版本为2.12-2.1.1

2.解压安装包

3.kerberos生成kafka和zookeeper的 principal 以及keytab文件

1.创建 principal
	sudo /usr/sbin/kadmin.local -q 'addprinc -randkey zookeeper/kdc-server@EXAMPLE.COM'
	sudo /usr/sbin/kadmin.local -q 'addprinc -randkey kafka/kdc-server@EXAMPLE.COM'
	sudo /usr/sbin/kadmin.local -q 'addprinc -randkey clients/kdc-server@EXAMPLE.COM'
	
2.生成keytab 文件 ** 这里为了方便全部生成到同一个文件里面 
	sudo /usr/sbin/kadmin.local -q "ktadd -k /var/kerberos/krb5kdc/keytab.keytab kafka/kdc-server@EXAMPLE.COM"
	sudo /usr/sbin/kadmin.local -q "ktadd -k /var/kerberos/krb5kdc/keytab.keytab zookeeper/kdc-server@EXAMPLE.COM"
	sudo /usr/sbin/kadmin.local -q "ktadd -k /var/kerberos/krb5kdc/keytab.keytab clients/kdc-server@EXAMPLE.COM"

4.创建 zookeeper 使用的 config/zookeeper_jaas.conf 文件

Server {
	com.sun.security.auth.module.Krb5LoginModule required
	useKeyTab=true
	storeKey=true
	useTicketCache=false
	keyTab="/var/kerberos/krb5kdc/keytab.keytab"
	principal="zookeeper/kdc-server@EXAMPLE.COM";
};

5.创建 kafka 使用的 config/server_jaas.conf 文件

KafkaServer {
	com.sun.security.auth.module.Krb5LoginModule required
	useKeyTab=true
	storeKey=true
	keyTab="/var/kerberos/krb5kdc/keytab.keytab"
	principal="kafka/kdc-server@EXAMPLE.COM";
};
Client {
	com.sun.security.auth.module.Krb5LoginModule required
	useKeyTab=true
	storeKey=true
	keyTab="/var/kerberos/krb5kdc/keytab.keytab"
	principal="kafka/kdc-server@EXAMPLE.COM";
};

6.创建 kafka 使用的 config/client_jaas.conf 文件

KafkaClient {
	com.sun.security.auth.module.Krb5LoginModule required
	useKeyTab=true
	keyTab="/var/kerberos/krb5kdc/keytab.keytab"
	storeKey=true
	useTicketCache=false
	serviceName="kafka"
	principal="clients/kdc-server@EXAMPLE.COM";
};

7.修改 config/server.properties 文件添加以下内容

listeners=SASL_PLAINTEXT://kdc-server:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=GSSAPI
sasl.enabled.mechanisms=GSSAPI
sasl.kerberos.service.name=kafka

8.为config/zookeeper.properties 文件添加以下内容 没有就新建一个

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

9.为config/producer.properties和consumer.properties文件添加以下内容

security.protocol=SASL_PLAINTEXT
sasl.mechanism=GSSAPI
sasl.kerberos.service.name=kafka

10.创建 zookeeper_start.sh 启动脚本放到kafka根目录 这里需要改为自己设置的jaas_conf 文件路径

export KAFKA_HEAP_OPTS='-Xmx1024M'
export KAFKA_OPTS='-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/data/kafka_2.12-2.1.1/config/zookeeper_jaas.conf'
bin/zookeeper-server-start.sh config/zookeeper.properties >zookeeper.log&

11.创建 kafka_start.sh 启动脚本放到kafka根目录 这里需要改为自己设置的jaas_conf 文件路径

export KAFKA_OPTS='-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/data/kafka_2.12-2.1.1/config/server_jaas.conf'
bin/kafka-server-start.sh config/server.properties > kafka.log&

12.启动 zookeeper 服务

sh zookeeper_start.sh

13.启动 kafka 服务

sh kafka_start.sh

14.可以从根目录 zookeeper.log 和 kafka.log 验证是否启动成功

DENGXQ.Q
关注
专栏目录
kerberos服务搭建,zookeeperkafka使用kerberos
lyflyyvip的博客
01-03 2905
1. centos安装kerberos 下载安装kerberos yum install krb5-libs krb5-server krb5-workstation krb5-libs 安装成功后etc下应该有krb5.conf文件,编辑该文件vi /etc/krb5.conf # Configuration snippets may be placed in this directo...
kerberos+zookeeper无法删除节点问题
s15896的博客
06-22 1356
开启了kerberos的环境,在zookeeper上有kafka的相关节点,无法删除。 进入zookeeper client,查看acl权限: [zk: ] getAcl /brokers/topics/*** 'world,'anyone : r 'sasl,'kafka : cdrwa [zk: ] getAcl /brokers/topics//** 'world,'anyone : cdrwa kafka配置KafkaServer { com.sun.security.auth.module.
Hadoop节点安装Kerberos
qq_42346417的博客
04-02 583
1.安装密钥分发中心KDC [root@hadoop102 /]# yum install krb5-server krb5-libs krb5-workstation 2.配置KDC <1>配置krb5.conf文件 [root@hadoop102 ~]# vim /etc/krb5.conf <2>配置kdc.conf文件 [root@hadoop102 /]# cd /var/kerberos/krb5kdc/ [root@hadoop102 krb5kdc]# vim k
kerberos+kafka(2.13)认证(节点ubuntu)
最新发布
weixin_43446246的博客
01-30 1180
复制 bin/kafka-server-start.sh 脚本重命名为 bin/kafka-server-start-sasl.sh,倒数第二行增加如下配置。.新建 kafka-client-jaas.conf 文件,该文件也放到 Kafka 的 config/kerberos 目录下。创建用户principal。验证登录,使用密钥登录.
kafka 配置 kerberos,设置 ACL 权限
10-10
kafka 配置 kerberos,设置 ACL权限, java 客户端连接。
zookeper开启kerberos权限安装与验证(2)
Tu_maimes
02-05 758
1、zookeeper的安装(机) 1、环境变量配置 export ZOOKEEPER_HOME=/data/zookeeper-3.4.12 export JAVA_HOME=/data/java/jdk1.8.0_131 export PATH=$ZOOKEEPER_HOME/bin:$JAVA_HOME/bin:$PATH 2、配置文件 # The number of milliseconds of each tick tickTime=2000 # The number of ticks
kafka 配置kerberos安全认证
01-28
本文将详细介绍如何为 Kafka 配置 Kerberos 安全认证,包括安装 Kerberos 服务、配置 ZookeeperKerberos 认证以及最终配置 KafkaKerberos 认证。 #### 二、整体架构设计 Kerberos 的部署通常需要一个中心化...
在Centos7上搭建带Kerberos验证的Kafka节点环境
Neo
12-10 8420
目录1.环境说明1.环境2.kafkazookeeper的压缩包处理2.hosts文件配置如下1.hosts修改2.让配置生效3.Kerberos安装以及配置1.Kerberos服务端安装2.Kerberos客户端安装3.修改krb5.conf配置如下4.kdc.conf配置如下5.创建Kerberos数据库6.设置相关服务自启动7.添加Kerberos用户8.生产keytab认证文件9.给keytab文件权限3.配置相关jaas.conf文件1.kafka_server_jaas.conf2.zooke
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 5996
文章目录安装KDC 服务器修改配置修改KDC配置文件配置KDC服务的权限管理文件修改Kerberos配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
zookeeperkafka的安装与测试(Cent OS 7)
litte_frog的博客
03-13 436
zookeeper 1 将下载好的安装包放在/usr/local目录下,解压 2 在conf目录下复制一份配置文件修改内容 [root@Kafka ~]# cd /usr/local/zookeeper-3.4.11/ [root@Kafka zookeeper-3.4.11]# cd conf/ [root@Kafka conf]# cp zoo_sample.cfg zoo_gxl....
kafka启动自带的zookeeper报错
Lian_Easel的博客
05-19 3040
报错信息: Kafka启动自带的zookeeper时候 报 error: could not find class org.apache.zookeeper.server.quorum.quorumpeermain kafka 的版本太低,升级版本即可
zookeeper启动报错(保姆级解决教程)快来看看是不是和你的错一样~
wanjialin的博客
11-03 6778
报错代码: 在zookeeper启动不成功时,我们可以去查看日志信息,看看究竟是什么地方错误了。 核心错误代码为:Unexpected exception, exiting abnormally java.net.BindException: Address already in use 原因分析: 根据错误代码分析是我们的地址正在被使用中,使用jps命令查看一下进程信息。 可以发现这个QuorumPeerMain是在运行中的(这边有两个的原因是我之前改错的时候修改了2181) 解决方案: 我们使用粗暴
Linux下搭建zookeeper+kafka+kerberos(基于centos7
x1172031988的专栏
09-26 5621
3台机器: 192.168.10.102 安装kafka服务 192.168.10.103 安装zookeeper服务 192.168.10.105 安装kerberos服务 zookeeper是用来提供服务发现之用,搭建kafka集群,注册到zookeeper,为防止消费的异常,搭建kerberos做认证管理,只有通过认证的kafka消费者才可以消费生产者的消息。kerberos在生产者和...
Kafka 认证三:添加 Kerberos 认证详细流程
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
11-18 6864
上一章节介绍了 Kerberos 服务端和客户端的部署过程,本章节继续介绍 Kafka 添加 Kerberos 认证的部署流程,及 Java API 操作的注意事项。
Kerberoskerberos节点安装及卸载
人生所向,皆是美好
03-02 5717
文章目录1. Kerberoskdc安装1.1 安装kerberos服务1.2 配置kerberos服务1.2.1 配置krb5.con1.2.2 配置kdc.conf1.2.43 创建kadm5.acl1.3 创建kerberos数据库1.4 创建管理员(admin/admin@HONEY.COM)(*注:根据提示输入密码)1.5 在master KDC上启动Kerberos daemons2...
kafka集群安全化之启用kerberos与acl
CarbonDioxide12138的博客
03-25 4936
一、背景在我们部署完kafka之后,虽然我们已经可以“肆意”的用kafka了,但是在一个大公司的实际生产环境中,kafka集群往往十分庞大,每个使用者都应该只关心自己所负责的Topic,并且对其他人所使用的Topic没有权限。这样一来可以将资源隔离开来,二来可以防止误操作。在权限控制之前,我们必须要启用的就是用户认证,没有用户,自然没有权限一说了。二、kafka启用kerberos认证2.1 在K...
zookeeper + kafka集群搭建
weixin_55609824的博客
07-28 191
目录一、使用消息队列(MQ)的原因二、使用消息队列的好处三、消息队列的两种模式 一、使用消息队列(MQ)的原因 主要原因是由于在高并发环境下,同步请求来不及处理,请求往往会发生阻塞。比如大量的请求并发访问数据库,导致行锁表锁,最后请求线程会堆积过多,从而触发too many connection错误,引发雪崩效应。 我们使用消息队列,通过异步处理请求,从而缓解系统的压力。消息队列常应用于异步处理,流量削峰,应用解耦,消息通讯等场景。 当前比较常见的 MQ中间件有ActiveMQ、RabbitMQ、Rock
Kafka开启kerberos安装与验证(1)
Tu_maimes
02-07 2629
1、环境准备 1、java version “1.8.0_131” 2、zookeeper-3.4.12 3、kafka-2.12-2.3.1 4、基于本人的另外两篇博客已安装kerberosZookeeper kafka的安装建议通过百度一下相关教程很多,本文就不在论述。 2、kafkaServer端开启kerberos 2.1 添加认证主体 [root@henghe-01 data] kadmin.local kadmin.local>addprinc -randkey kafka/henghe
KafkaKerberos+SASL的部署指南:包括keytab生成与配置
- 文档中未详述具体的Kerberos安装步骤,但暗示读者可能参考了名为《Kerberos+搜索引擎集群测试环境部署文档》的其他资料。安装过程中,确保KDC服务器正常运行并配置Kerberos服务。 3. **Kerberos Principal的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值