Kafka动态认证SASL/SCRAM验证

最新推荐文章于 2024-04-07 14:41:41 发布
最新推荐文章于 2024-04-07 14:41:41 发布
阅读量1.8k 收藏 8
点赞数 3
分类专栏: 中间件&第三方 文章标签: zookeeper kafka 大数据 java 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38616503/article/details/117529690
版权

一、目的

配置SASL/PLAIN验证,实现了对Kafka的权限控制。但SASL/PLAIN验证有一个问题:只能在JAAS文件KafkaServer中配置用户,一但Kafka启动,无法动态新增用户。SASL/SCRAM验证可以动态新增用户并分配权限

1.1启动Zookeeper和Kafka

版本:kafka_2.12-2.7.0.tgz
此方法是把凭证(credential)存储在Zookeeper,可以使用kafka-configs.sh在Zookeeper中创建凭据。对于每个SCRAM机制,必须添加具有机制名称的配置来创建凭证,在启动Kafka broker之前创建代理间通信的凭据。
所以第一步,在没有设置任何权限的配置下启动Kafka和Zookeeper。

1.2 创建SCRAM证书

1)创建broker建通信用户:admin(在使用sasl之前必须先创建,否则启动报错)

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter 
--add-config 'SCRAM-SHA-256=[password=admin-sec],
SCRAM-SHA-512=[password=admin-sec]' --entity-type users --entity-name admin

2)创建生产用户:producer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter 
--add-config 'SCRAM-SHA-256=[iterations=8192,password=prod-sec],
SCRAM-SHA-512=[password=prod-sec]' --entity-type users --entity-name producer

3)创建消费用户:consumer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter 
--add-config 'SCRAM-SHA-256=[iterations=8192,password=cons-sec],
SCRAM-SHA-512=[password=cons-sec]' --entity-type users --entity-name consumer

SCRAM-SHA-256/SCRAM-SHA-512是对密码加密的算法,二者有其一即可

1.3查看SCRAM证书

bin/kafka-configs.sh --zookeeper localhost:2181 --describe --entity-type users --entity-name consumer
bin/kafka-configs.sh --zookeeper localhost:2181 --describe --entity-type users --entity-name producer

1.4删除SCRAM证书

bin/kafka-configs.sh --zookeeper localhost:2181 --alter --delete-config 'SCRAM-SHA-512' 
--delete-config 'SCRAM-SHA-256' --entity-type users --entity-name producer

1.5服务端配置

在用户证书创建完毕之后开始Kafka服务端的配置:
1)创建JAAS文件:

KafkaServer {
org.apache.kafka.common.security.scram.ScramLoginModule required
username="admin"
password="admin-sec";
};

2)将JAAS配置文件位置作为JVM参数传递给每个Kafka Broker【bin/kafka-server-start.sh】添加
-Djava.security.auth.login.config
=/home/test/kiki/kafka/ka/config/kafka_server_jaas.conf

exec $base_dir/kafka-run-class.sh 
$EXTRA_ARGS -Djava.security.auth.login.config
=/home/test/kiki/kafka/ka/config/kafka_server_jaas.conf kafka.Kafka "$@"

3)配置server.properties【config/server.properties】

#认证配置
listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
sasl.enabled.mechanisms=SCRAM-SHA-256
#ACL配置
allow.everyone.if.no.acl.found=false
super.users=User:admin
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

可以根据自己的需求选择SASL_SSL或SASL_PLAINTEXT, PLAINTEXT为不加密明文传输,性能好与SSL
4)重启Kafka和Zookeeper

1.6客户端配置

1)为我们创建的三个用户分别创建三个JAAS文件:分别命名为
kafka_client_scram_admin_jaas.conf
kafka_client_scram_producer_jaas.conf
kafka_client_scram_consumer_jaas.conf

KafkaClient {
org.apache.kafka.common.security.scram.ScramLoginModule required
username="admin"
password="admin-sec";
};


KafkaClient {
org.apache.kafka.common.security.scram.ScramLoginModule required
username="consumer"
password="cons-sec";
};


KafkaClient {
org.apache.kafka.common.security.scram.ScramLoginModule required
username="producer"
password="prod-sec";
};

2)修改启动脚本引入JAAS文件:
生产者配置:
配置bin/kafka-console-producer.sh

exec $(dirname $0)/kafka-run-class.sh 
-Djava.security.auth.login.config
=/home/test/kiki/kafka/ka/config/kafka_client_scram_producer_jaas.conf

消费者配置:
配置bin/kafka-console-consumer.sh

exec $(dirname $0)/kafka-run-class.sh 
-Djava.security.auth.login.config
=/home/test/kiki/kafka/ka/config/kafka_client_scram_consumer_jaas.conf

3)配置consumer.properties和producer.properties,都要加入以下配置

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256

4)创建主题

[test@police ka]$ bin/kafka-topics.sh --zookeeper localhost:2181 --create --topic test --partitions 2 --replication-factor 1

5)启动生产

[test@police ka]$ bin/kafka-console-producer.sh --broker-list 127.0.0.1:9092 --topic test --producer.config config/producer.properties

发现会报权限相关的错
6)对生产者赋予写的权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer
--authorizer-properties zookeeper.connect=localhost:2181 --add
 --allow-principal User:producer --operation Write

查看权限:

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer
--authorizer-properties zookeeper.connect=localhost:2181 --list

7)对消费者赋予读的权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer
--authorizer-properties zookeeper.connect=localhost:2181 --add
 --allow-principal User:consumer --operation Read

此时启动消费者

[test@police ka]$ bin/kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic test --from-beginning --consumer.config config/consumer.properties

此时依旧会报错,报未对消费者组授权

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer
--authorizer-properties zookeeper.connect=localhost:2181 --add 
--allow-principal User:consumer --operation Read --group test-group

此时再启动消费者,可以发现能正常消费生产者的消息
8)查看权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer 
--authorizer-properties zookeeper.connect=localhost:2181 --list

1.7总结

SASL/SCRAM验证方法可以在Kafka服务启动之后,动态的新增用户分并配权限,在业务变动频繁,开发人员多的情况下比SASL/PLAIN方法更加灵活。
参考:
https://cloud.tencent.com/developer/article/1491674
https://cloud.tencent.com/developer/article/1588581

慕木兮人可
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
Kafka安全认证机制详解之SASL_PLAIN
空城的博客
01-02 2191
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。
Kafka动态认证SASL/SCRAM配置+整合springboot配置
weixin_52925162的博客
11-11 8160
Kafka动态认证SASL/SCRAM配置+整合springboot配置
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证(2)
最新发布
2201_75604694的博客
04-07 236
使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。Client配置了broker到Zookeeper的连接用户名密码,这里要和前面zookeeper配置中的zk_jaas.conf.conf 中 user_kafka 的账号和密码相同。
大数据Hadoop之——Kafka安全机制(Kafka SSL认证实现)
匠人精神,持之以恒!
06-12 2565
Kafka0.9.0开始引入丰富的安全认证机制,实现基础安全用户认证,将kafka上云或进行多租户管理的必要步骤安全,目前kafka支持`SASL`、`SSL`、`Delegation Token`这三种认证机制。
kafka动态权限认证SASL SCRAM + ACL)
weixin_45682234的博客
10-19 3082
kafka动态权限认证SASL SCRAM + ACL) 创建三个测试用户 bin/kafka-configs.sh --zookeeper 192.168.x.x:2181 --alter --add-config ‘SCRAM-SHA-256=[iterations=8192,password=admin],SCRAM-SHA-512=[password=admin]’ --entity-type users --entity-name admin PS:用户 admin 这里配置admin用户用于实
Kafka集群启动报错:failed authentication due to invalid credentials with SASL mechanism
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-02 3668
完成后再次重启,执行:/data1/kafka/bin/kafka-server-start.sh -daemon /data1/kafka/config/server.properties,kafka虽然还是报错一些信息,但kafka server已能正常启动完成。2、zookeeper没有对应账号的信息,broker请求时无法正确连接zookeeper endpoint,导致授权失败,无法连接;现场环境:独立zookeeper 3.8.2,kafka:2.13-3.5.1。
实战:kafkazookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6373
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
Kafka】从安装到配置再到监控,教你搭建一套sasl/scram类型的Kafka集群
浩瀚宇宙的一粒尘埃
02-05 798
文章目录准备工作修改配置文件创建初始用户创建jaas文件修改启动脚本启动Kafka添加SystemdKafka监控部署jmx_exporter配置Prometheus配置Grafana后记 本文的主要内容是讲解一个4个broker,SASL/SCRAM类型的Kafka集群搭建过程。 准备工作 安装jdk 安装Zookeeperkafka之前,需要先安装java环境,并配置环境变量,推荐Java 8。 安装zookeeper Kafka依赖zookeeper,安装Kafka之前需要安装zk。 搭建过程参考:
Kafka配置动态SASL_SCRAM认证
冰之杍的博客
10-12 3598
(Kafka配置动态SASL_SCRAM认证)Kafka中需要加上认证,并动态新增用户,SASL/SCRAM验证可以支持
Kafka 使用SASL / SCRAM进行身份验证
choudeque8858的博客
03-15 3333
使用SASL / SCRAM进行身份验证 请先在不配置任何身份验证的情况下启动Kafka 1. 创建SCRAM Credentials 1.1 创建broker通信用户(或称超级用户) bash Emacs bin/kafka-configs.sh --zookeeper c...
Kafka ACL(SASL/SCRAM-SHA-256)动态权限管理【windows】
三年喂的博客
03-15 2328
Window系统下配置Kafka ACL SASL/SCRAM-SHA-256 模式动态权限管理
使用sasl的kafka集群的搭建使用
03-15
搭建基于sasl的安全认证kafka集群,并配置acl,使用户能分权分域接受发送消息
kafka-kraft SASL
01-08
生成JKS文件
huaweicloudDocs#kafka#创建SASL_SSL用户1
07-25
创建SASL_SSL用户Kafka专享版实例开启SASL_SSL后,参考本章节创建SASL_SSL用户,并在Topic中为SASL_SSL用户设置不同的权限,以
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
Window下kafka 单机SASL_SCRAM加密及身份认证
小白菜呀
12-04 1976
     KAFKA加密认证机制中的SASL主要包括SASL_PLAINTEXT SASL_GSSAPI SASL_SCRAM。这里主要记录一下Windows下搭建配置单机sasl_scram环境。 一、前情提要     SCRAMkafka安全机制SASL家族中的一个,通过执行用户名/密码认证(如PLAIN和DIGEST-MD5)的传统机制来解决安全问题,Kafka中的默认SCRAM实现是...
centos 7 kafka2.6单机安装及动态认证SASL SCRAM配置
manwufeilong的博客
10-31 1117
producer 用于生产消息,consumer 用于消费消息,producer和consumer用于测试使用,生产中使用可根据业务需要创建对应用户,这里仅用于演示。创建用户之后,需要为每个 Broker 创建一个对应的 JAAS 文件。配置 SASL/SCRAM 的第一步,是创建能连接 Kafka 集群的用户,创建用户admin ,用于实现 Broker 间通信。broker启动命令添加 jaas conf配置,用于通信认证。配置消费者启动脚本添加JAAS文件配置。配置生产者启动脚本添加JAAS文件。
Kafka+Scram认证+eagle管理
pandani的专栏
09-24 722
记录一次部署测试 部署程序版本选择 kafka 2.7.1 eagle 2.0.6 选择2.7.1是因为kafka在2.7之后的java的SDK中提供了操作scram账号的方法。我们可以将此集成到业务系统中对topic的读写对账户的授权管理。 Kafka搭建 我们将kafka部署到3个服务节点,例如192.168.40.1/192.168.40.2/192.168.40.3 第1步 下载kafka安装包,地址https://www.apache.org/dyn/closer.cgi?...
spring boot整合kafka 而且kafka使用SASL认证的机制是SCRAM-SHA-512 在yml中怎么配置
06-07
可以在Spring Boot的配置文件application.yml中添加以下配置: ``` spring: kafka: bootstrap-servers: <kafka...这样配置之后,Spring Boot就会使用SASL认证机制连接Kafka集群,并使用SCRAM-SHA-512算法进行认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

慕木兮人可

感谢支持,勿忘初心

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值