kafka集成kerberos完整步骤-2

最新推荐文章于 2025-03-12 02:56:41 发布
最新推荐文章于 2025-03-12 02:56:41 发布
阅读量1k 收藏 8
点赞数 8
文章标签: kafka 个人开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32355291/article/details/145081702
版权

机器:

172.31.10.133 (Kerberos 客户端和服务端都放一起)

172.31.10.132(kafka)

172.31.10.132(zookeeper)

整体概述:

  1. kafka 集成 kerberos 后, kafka 的客户端和 kafka 的服务端在交互前都需要请求 kerberos 进行认证通过后,才能进行交互。那么 kafka 的客户端和 kafka 的服务端的票据即 keytab 只要是通过 kerberos 认证后,就可以交互了,说明这点意思,kafka 的客户端和服务端的 keytab 可以用一个或者不用一个。
  2. kafka 和 kerberos 的交互与访问都需要通过域名。所需机器上的配置 /etc/hosts 文件需要配置 kerberos 的域名,注意是只要有 krb5.conf 的文件都都需要设置,这个文件通过域名访问 kdc 中心。
  3. 说说几个比较重要的文件:
    1. kerberos 的 kdc.conf 文件 这个指定端口号,设置加密的类型
    2. krb5.conf 文件,这个文件是设置 kdc 的认证中心,即 kerberos 服务端的地址。当然可以存在多个 kerberos,这就需要修改 krb5.conf 文件了
    3. keytab 文件,这个就是加密文件了
    4. kadm5.acl 文件用来设置 realm 域名的,本文的域名 EXAMPLE.COM
  1. kafka 服务端的文件,jaas 文件,服务端文件,以及需要使用 Kerberos 认证链接。

172.31.10.133 机器的配置及操作:

krb5.conf 文件使用

includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = EXAMPLE.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 EXAMPLE.COM = {
     kdc = kerberos.example.com:88
     admin_server = kerberos.example.com:749
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

[root@localhost krb5kdc]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
172.31.10.133 kerberos.example.com

最低0.47元/天 解锁文章
kerberos服务搭建,zookeeper、kafka使用kerberos
lyflyyvip的博客
01-03 2947
1. centos安装kerberos 下载安装kerberos yum install krb5-libs krb5-server krb5-workstation krb5-libs 安装成功后etc下应该有krb5.conf文件,编辑该文件vi /etc/krb5.conf # Configuration snippets may be placed in this directo...
Kafka配置Kerberos安全认证及与Java程序集成
on the way . . .
01-12 3947
本文主要介绍在 Kafka 中如何配置 Kerberos 认证,以及 java 使用 JAAS 来进行 Kerberos 认证连接。
kafka开启kerberos认证详细步骤
weixin_40593162的博客
03-12 103
一、kerberos安装部署 kerberos的基本原理不做过多介绍了,可自行查阅;本文主要介绍kerberos的安装及使用;使用到的软件版本:系统:Red Hat Enterprise Linux release 8.6 (Ootpa) 、krb5-server:1.18.2 #使用到的软件版本 [root@kafka01 data]# cat /etc/redhat-release Red ...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
kafka开启kerberos
蘑菇丁的专栏
08-16 1714
配置zookeeper的kerberos验证,切换到配置文件目录下cd conf,添加zoo.cfg配置文件,cp zoo_sample.cfg zoo.cfg打开zoo.cfg配置文件,添加配置,修改Zookeeper的配置文件cat zoo.cfg 启用SASL认证,并指定认证提供者。在Zookeeper的启动脚本中添加JVM参数,指定JAAS配置文件的路径。在Kafka的启动脚本中添加JVM参数,指定JAAS配置文件的路径。注意修改principal和keyTab路径以匹配实际环境。
单机 kafka 配置 kerberos,设置 ACL 权限
10-10
kafka 配置 kerberos,设置 ACL权限, java 客户端连接。
Kerberos安全认证-连载12-Kafka Kerberos安全配置及访问
qq_32020645的博客
06-22 4604
技术连载系列,前面内容请参考前面连载11内容:​​​​​​​​​​​​​​Kafka也支持通过Kerberos进行认证,避免非法用户操作读取Kafka中的数据,对Kafka进行Kerberos认证可以按照如下步骤实现。在kerberos服务端node1节点执行如下命令将Kafka服务主体写入到keytab文件。
大数据安全-kerberos技术-kafka安装包,kafka版本:kafka-2.12-3.3.1.tgz
06-07
Kafka集成Kerberos,可以实现对生产者、消费者以及Kafka服务器节点的身份验证,提高整个系统的安全性。以下是使用KafkaKerberos进行安全配置的步骤: 1. **设置Kerberos环境**:首先,需要在所有参与Kafka...
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
本文将深入探讨这一主题,介绍如何利用Apache Flink与Kafka集成,以及如何通过Kerberos进行身份验证。 首先,Apache Flink是一个强大的开源流处理框架,它提供了对实时数据流的强大处理能力。而Kafka是一个分布式...
kafka 0.10.2.2配置kerberos
catcher92的博客
01-30 3079
公司最新需要新搭建一套带kerberoskafka集群,kerberos已经有别的团队搭建完成,此文章只记录kafka配置kerberos的部分。 在kerberos配置kafka用户 # 创建kafka/hadoop03用户 kadmin.local -q "addprinc -randkey kafka/hadoop03" # 导出keytab文件 kadmin.local -q "...
大数据之Kerberos认证与kafka开启Kerberos配置
m0_46168848的博客
08-06 7988
Kerberos 是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。.........
Kafka配置kerberos安全认证
weixin_39060974的博客
03-07 7635
1.在kerberos管理节点的root用户下分别执行以下命令 addprinc-randkeykafka/nyyjh2@EXAMPLE.COM addprinc-randkeykafka/nyyjh3@EXAMPLE.COM addprinc-randkeykafka/nyyjh4@EXAMPLE.COM addprinc-randkeyzookeeper/nyyjh2@EXAMPLE.COM addprinc-randkeyzookeeper/nyyjh3@EXAMPLE.CO...
基于kerberoskafka认证配置部署
weixin_38965592的博客
12-05 722
Kafka需要使用Kerberos进行认证和授权,因此,需要首先在所有机器上安装和配置Kerberos
kerberos安装使用[kafka]
weixin_34320159的博客
11-29 370
2019独角兽企业重金招聘Python工程师标准>>> ...
Kafka 认证三:添加 Kerberos 认证详细流程
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
11-18 8166
上一章节介绍了 Kerberos 服务端和客户端的部署过程,本章节继续介绍 Kafka 添加 Kerberos 认证的部署流程,及 Java API 操作的注意事项。
Kafka开启kerberos安装与验证(2
Tu_maimes
02-08 815
1、Kafka 开启ACL 1.1 开启acl认证 在kafka中server.properties文件中添加如下配置: # 配置kafka中对权限的认证 authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer # 配置kafka认证的超级管理员 super.users=User:kafka 修改整个集群中的配置文件后,滚动重启kafka集群。 2、设置Kafka主题Acl权限 2.1 查看现有的认证主体 列出的认证主体中有我们之前添加的
Kafka集成Kerberos
m0_47139984的博客
03-06 1659
Kafka集成Kerberos
带有Kerberos认证的Kafka
weixin_45759901的博客
04-12 729
带有Kerberos认证的Kafka 对topic的增删查,生产者消费者的命令 1.需要刷新为Kafka用户进行Kerberos认证 cd /etc/security/keytabs/ [root@bigdata-hadoop-data--1 keytabs]# klist -kt kafka.service.keytab Keytab name: FILE:kafka.service.keytab KVNO Timestamp Principal ---- -----------
kafka实战kerberos
weixin_30553777的博客
08-23 380
more /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = EXAMPLE.COM ...
kafka集成kerberos安全认证环境搭建
最新发布
03-25
### KafkaKerberos集成安全认证环境搭建 为了实现KafkaKerberos之间的安全认证,通常需要以下几个方面的配置: #### 1. Kerberos服务端配置 Kerberos服务器的安装和配置是整个过程的基础。确保KDC(Key Distribution Center)已经正确部署并运行正常。创建用于Kafka集群的身份验证主体(principal),例如`kafka/hostname@REALM`。 对于每台Kafka broker机器都需要有对应的Kerberos principal,并生成相应的keytab文件[^1]。 #### 2. Kafka Broker配置 编辑Kafka的配置文件(通常是`server.properties`),添加如下关键属性来启用SASL/Kerberos支持: ```properties sasl.enabled.mechanisms=GSSAPI security.inter.broker.protocol=SASL_PLAINTEXT listener.name.sasl_plaintext.scram-sha-512.sasl.jaas.config=org.apache.kafka.common.security.gssapi.GssApiLoginModule required \ useKeyTab=true \ keyTab="/path/to/kafka.keytab" \ storePass="password" \ serverPrincipal="kafka/hostname@REALM"; ``` 上述配置启用了GSSAPI机制作为Broker间通信的安全协议,并指定了具体的keytab路径以及对应的服务principal名称。 #### 3. Java客户端配置 (Producer & Consumer) 当Java应用通过Kafka Producer或Consumer连接到受保护的Kafka集群时,也需要进行类似的JAAS配置。下面是一个典型的生产者配置例子: ```java Properties props = new Properties(); props.put("bootstrap.servers", "localhost:9092"); props.put("acks", "all"); props.put("retries", 0); props.put("batch.size", 16384); props.put("linger.ms", 1); props.put("buffer.memory", 33554432); // SASL/GSSAPI settings props.put("security.protocol", "SASL_PLAINTEXT"); props.put("sasl.mechanism", "GSSAPI"); System.setProperty("java.security.auth.login.config", "/path/to/jaas.conf"); producer = new KafkaProducer<>(props, new StringSerializer(), new StringSerializer()); ``` 其中`jaas.conf`应包含类似这样的条目: ```conf KafkaClient { com.sun.security.auth.module.Krb5LoginModule required useTicketCache=false useKeyTab=true keyTab="/path/to/user.keytab" principal="user@REALM"; }; ``` 此部分描述了如何让Java应用程序能够利用本地存储的票据缓存或者指定的keytab来进行身份验证[^2]。 #### 4. Spring Boot中的额外考虑事项 如果是在Spring Boot环境下操作,则可以借助其自动装配功能简化某些步骤。不过仍然需要手动调整application.yml(application.properties),加入必要的安全性选项。例如: ```yaml spring: kafka: bootstrap-servers: localhost:9092 consumer: group-id: test-group auto-offset-reset: earliest properties: security: protocol: SASL_PLAINTEXT sasl: mechanism: GSSAPI ``` 同时记得设置系统的JAVA_OPTS变量指向合适的JAAS配置文件位置。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值