使用ranger对kafka进行鉴权

最新推荐文章于 2024-05-13 02:47:44 发布
最新推荐文章于 2024-05-13 02:47:44 发布
阅读量7.2k 收藏 5
点赞数 1
分类专栏: Ranger安全框架 文章标签: ranger鉴权 ranger原理 kafka插件 kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sudaxhh/article/details/74390413
版权

使用ranger对kafka进行鉴权

测试环境:ranger-kafka-plugin为0.6.3版本,kafka版本为kafka_2.10-0.10.1.1,且kafka broker为一个节点。
一、Ranger对kafka进行权限控制,前提需要kafka开启kerberos认证(注意:若kafka不开启kerberos的话Ranger无法获取kafka相关操作的用户,进而无法完成鉴权操作)
二、开启kerberos认证
包括zookeeper开启kerberos认证,kafka开启zookeeper认证。
1、安装配置Kerberos Server

(1)安装server:
yum install krb5-libs krb5-server krb5-workstation
具体配置略.

(2)安装client:yum install krb5-libs krb5-workstation

2、开启zookeeper kerberos认证

由于kafka依赖zookeeper,所以zookeeper也需要开启kerberos认证,这部分内容可参考zookeeper官网进行配置。

3、开启kafka kerberos认证

(1) 编辑kafka_server_jaas.conf文件:内容如下:

KafkaServer {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab=”/etc/security/keytabs/kafka.keytab”
storeKey=true
useTicketCache=false
serviceName=”kafka”
principal=”kafka/xhhdev@HHKDC”;
};

KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
renewTicket=true
serviceName=”kafka”;
};

Client {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=false
useTicketCache=true;
};

(2)加入jvm参数
-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/usr/local/soft/kafka/config/kafka_server_jaas.conf”

在下面脚本中加入:
vim kafka-run-class.sh

if [ -z “$KAFKA_JVM_PERFORMANCE_OPTS” ]; then
KAFKA_JVM_PERFORMANCE_OPTS=”-server -XX:+UseG1GC -XX:MaxGCPauseMillis=20 -XX:InitiatingHeapOccupancyPercent=35 -XX:+DisableExplicitGC -Djava.awt.headless=true -Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/usr/local/soft/kafka/config/kafka_server_jaas.conf”
fi

(3)server.properties中加入如下配置

listeners=SASL_PLAINTEXT://xhhdev:6667

security.inter.broker.protocol=SASL_PLAINTEXT

sasl.mechanism.inter.broker.protocol=GSSAPI

sasl.enabled.mechanisms=GSSAPI

sasl.kerberos.service.name=kafka

(4)创建文件producer.properties 及consumer.properties 且加入如下配置:

security.protocol=SASL_PLAINTEXT

sasl.mechanism=GSSAPI

sasl.kerberos.service.name=kafka

三、安装ranger-kafka-plugin

1、解压包:tar –zxvf ranger-0.6.3-kafka-plugin.tar.gz

2、修改install.properties文件

POLICY_MGR_URL=http://xhhtest:6080 (Ranger-admin 访问地址)
REPOSITORY_NAME=kafkadev (服务名称)
XAAUDIT.DB.IS_ENABLED=true
XAAUDIT.DB.FLAVOUR=MYSQL
XAAUDIT.DB.HOSTNAME= xhhtest
XAAUDIT.DB.DATABASE_NAME=ranger_audit
XAAUDIT.DB.USER_NAME=root
XAAUDIT.DB.PASSWORD=123456

3、添加软连接

假设kafka_2.10-0.10.1.1安装目录为:/usr/local/soft/kafka/
ranger-0.6.3-kafka-plugin 安装目录为:/usr/local/ranger-0.6.3-kafka-plugin
则执行:
ln -s /usr/local/soft/kafka/conf/ /usr/local/kafka
ln -s /usr/local/soft/kafka/lib/ /usr/local/kafka

4、执行 ./enable-kafka-plugin.sh

之所以执行软连接,是因为执行此脚本时需要知道kafka_2.10-0.10.1.1的conf 和lib所在位置。

5、重启kafka服务

四、鉴权测试

1、在ranger-admin界面添加kafka service (name为kafkadev)
2、查看插件是否成功,audit->plugins显示
3、测试
(1)执行kinit -kt /etc/security/keytabs/kafka.service.keytab kafka/xhhdev@HHKDC
(2)创建topic:./kafka-topics.sh –zookeeper xhhdev:2181 –create –topic topic_test –partitions 1 –replication-factor 1,此时可以创建成功。
(3)生产:切换到用户xhhtest,
执行kinit -kt /etc/security/keytabs/xhhtest.service.keytab xhhtest/xhhdev@HHKDC

./kafka-console-producer.sh –broker-list xhhdev:6667 –topic topic_test –producer.config producer.properties,此时报错如下:

WARN Error while fetching metadata with correlation id 0 : {topic_test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)

原因是:xhhtest没有权限

(4)设置policy,增加权限,再次执行ok。

参考文献:
http://ranger.apache.org/
http://kafka.apache.org/documentation/#security_sasl
https://www.ibm.com/support/knowledgecenter/en/SSPT3X_4.2.5/com.ibm.swg.im.infosphere.biginsights.admin.doc/doc/admin_ranger_plugin_kafka.html

Coding我不配
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
springboot集成kafka
baidu_23263735的博客
10-24 325
1、先解决依赖 springboot相关的依赖我们就不提了,和kafka相关的只依赖一个spring-kafka集成包 1 2 3 4 5 <dependency> <groupId>org.springframework.kafka</groupId> <...
ranger-2.1.0-kafka-plugin.tar.gz
08-09
ranger-2.1.0-kafka-plugin.tar.gz
Kafka-配置Kerberos安全认证(JDK8、JDK11)_kafka kerberos认证(2)
最新发布
2401_84545128的博客
05-13 999
①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等①Windows系统常见功能和命令。
Ranger-kafka-plugin
Nobigo
11-19 3623
ranger如何对在非安全模式下的kafka进行操作这部分主要是关于ranger如何对非安全模式下的kafka进行操作。1. 我可以通过ranger对非安全模式下的kafka进行访问控制?可以通过指定Ip地址对访问进行控制。2. 我可以通过ranger的用户/用户组来对非安全模式下的kafka进行访问控制?不能通过基于用户/用户组的条件来对非安全模式下的kafka进行控制,因为在非安全模式下
ranger-2.0.0-kafka-plugin.zip
06-04
由于很多文章都是只有ranger的安装说明,却没有编译后的tar包,而且编译的时间有点长,编译期间会出现各种问题,导致编译不过,特此上传编译后的包,来提供大家下载
Ranger-Kafka插件安装
微信公众号:大数据从业者
03-13 191
Ranger-Kafka插件安装, 使用Ranger0.7.0版本,集成Kafka插件到Kafka集群, Kafka Plugin需要安装到所有的Kafka的集群节点上面。 1.登陆Kafka的安装用户 2.下载插件包 scp pub@10.43.156.193:/home/pub/ranger/ranger-0.7.0/target/ranger-0.7.0-SNAPSHOT-kafka-...
ranger-2.0.0-SNAPSHOT-kafka-plugin.tar.gz
11-20
安装此插件后,Kafka的访问控制将通过Ranger进行,提供细粒度的限管理。 1. **安装流程**: - 解压"ranger-2.0.0-SNAPSHOT-kafka-plugin.tar.gz"到服务器。 - 将插件复制到Kafka的插件目录。 - 修改Ranger ...
Ranger和Atlas进行数据治理.docx
02-26
Ranger和Atlas进行数据治理,对Yarn、HDFS、Hbase、Hive、Kafka限控制,最全的文档整理。
cdh6.3.2编译的ranger版本
08-03
2. ranger-2.1.0-kafka-plugin.tar.gz:这是Ranger针对Kafka的插件,使得Kafka集群可以通过Ranger进行限控制。 3. ranger-2.1.0-hbase-plugin.tar.gz:对应HBase的插件,让HBase的数据访问也能够受到Ranger限...
大数据 Ranger2.1.0 适配 Kafka3.4.0
红桃∩
05-30 1010
根据官方说明Kafka3.0以上版本将会被替换限认证方式,包括 类和方法 的变换,所以需要对ranger中继承 kafka 的实现中,修改相应的逻辑
基于rangerkafka限控制
hncscwc的博客
08-16 1777
上一篇文章讲到了kafka中的ACL,也提到了是以插件式的形式实现的,本文就来聊聊基于rangerkafka访问控制。【ranger插件安装】要使用ranger插件,首先需要对rangerkafka插件包进行解压缩,然后进入解压缩后的目录,修改安装的配置文件`install.properties`,具体修改的配置项包括:# 插件安装位置(通常就是kafka的安装位置) COMPONENT_IN...
kafkaranger插件的一个坑
hncscwc的博客
12-09 1285
之前文章写过kafka,以及集成ranger插件的配置使用。但真正在用起来后,发现里面有个坑,本文就来聊聊这个坑的情况以及排查过程。【问题现象】kafka在集成了ranger插件实现功能后,发现过一段时间后,controller无法正确连接上broker,并有如下报错:// server.log中的日志 [2022-12-0615:32:48,068] ERROR [Controlle...
ranger】CDP环境 更新 ranger 限策略会发生低概率丢失限策略的解决方法
Mrerlou的博客
12-18 1173
服务在更新(添加) ranger 限时,会有极低的概率导致 MM2 同步服务报错,报错内容。中看到我们的策略确实是已经配置,但是实际上落实到各个服务的策略缓存时发生了丢失。CM ->ranger-> 配置 -> 日志 -> INFO改为 DEBUG。查看修改配置后,ranger 的性能。但是查看 ranger 限是赋予的,并且很早配置的限策略也会报错。CM -> 集群 -> Ranger-> 配置 -> 搜索。1.集群 -> Ranger -> 配置 -> 搜索。就是存放我们实际的缓存策略的文件。
Kafka系列之:详细总结认证方式PLAINTEXT、GSSAPI、Scram的实现方式,通过Ranger、Kerberos实现kafka账号的Topic限管理
zhengzaifeidelushang的博客
02-17 593
Kafka系列之:详细总结认证方式PLAINTEXT、GSSAPI、Scram的实现方式,通过Ranger、Kerberos实现kafka账号的Topic限管理
Kafka的灵魂伴侣Logi-KafkaManger(5)之运维管控–平台管理(用户管理和平台配置)
石臻臻的杂货铺(szzdzhp001)
04-28 8685
文章目录运维管控集群列表集群运维平台管理应用管理应用申请应用详情申请下线用户管理用户角色平台配置网关配置专栏文章列表 项目地址: didi/Logi-KafkaManager: 一站式Apache Kafka集群指标监控与运维管控平台 运维管控 运维管控这个菜单栏目下面主要是供运维人员来管理所有集群的; 集群列表 Kafka的灵魂伴侣Logi-KafkaManger(3)之运维管控–集群列表 集群运维 Kafka的灵魂伴侣Logi-KafkaManger(4)之运维管控–集群运维(数据迁移和集群在线升级
python 中使用Kafka模块进行数据推送和消费
Alan_山的专栏
12-21 1940
最近刚好要用到kafka进行数据传输,又要,就研究了一下kafka推送和消费,现在将代码放出来,有兴趣的可以看一下,的加密方式各有不同,所以需要注意哦!生产者采用的是异步推送的形式,另外加入了计数模块,担心因为脚本推送后未回调但是脚本就停止的情况。消费者的代码就比较简单,只需要加入的账号密码以及加密方式即可。以上就是全部代码,有兴趣的可以了解一下,我也当做记录。
zookeeper、kafkakafka tool与spring boot之间访问时的身份验证配置
koyanagi的博客
11-25 2334
zookeeper、kafkakafka tool与spring boot之间访问时的身份验证配置 一. zookeeper配置 1. 非kafka自带的zookeeper 安装目录/conf/zoo.cfg添加以下配置 authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider requireClientAuthScheme=sasl jaasLoginRenew=3600000 同目录下新建文件zk_serve
Kafka——管理Kafka(命令行工具)详解
吴声子夜歌的博客
08-09 4656
有时候,我们需要知道提交的消费者群组偏移量是多少,比如某个特定的群组是否在提交 偏移量,或者偏移量提交的频度。也就是说,如果集群里有 5 个 broker,生产者的配额是 10MB/s,那么它可以以 10MB/s 的速率在单个 broker 上生成 数据,总共的速率可以达到 50MB/s。根 据分区大小的不同,复制过程可能需要花一些时间,因为数据是通过网络复制到新副本上 的。也就是说,在没有认证的情况下也可以使用这些命令行工具,在没 有安全检查和审计的情况下也可以执行诸如主题变更之类的操作。
Sentry和Ranger具体如何使用
06-01
Sentry和Ranger是CDH中常用的细粒度授管理工具,下面分别介绍它们的使用方法: 1. Sentry的使用 (1)安装和配置Sentry 首先需要在CDH集群中安装和配置Sentry服务。具体安装和配置步骤可以参考CDH文档中的说明。 (2)创建角色和授 可以使用Sentry提供的命令行工具或Web界面来创建角色和授。例如,以下命令可以创建一个名为“finance_analyst”的角色,并将其授访问表“my_table”: ``` $ sentry --command create-role --role finance_analyst $ sentry --command grant --role finance_analyst --privilege "server=server1->db=my_database->table=my_table->action=select" ``` (3)验证授 创建角色和授之后,可以使用用户的身份来验证授是否生效。例如,可以使用以下命令来验证用户“user1”是否可以访问表“my_table”: ``` $ beeline -u jdbc:hive2://localhost:10000 -n user1 -e "select * from my_table" ``` 2. Ranger使用 (1)安装和配置Ranger 首先需要在CDH集群中安装和配置Ranger服务。具体安装和配置步骤可以参考CDH文档中的说明。 (2)创建策略和条件 可以使用Ranger提供的Web界面来创建策略和条件。例如,可以创建一个策略,仅允许特定用户访问表“my_table”。在创建策略时,可以指定访问条件,例如“user=user1”。 (3)验证授 创建策略之后,可以使用用户的身份来验证授是否生效。例如,可以使用以下命令来验证用户“user1”是否可以访问表“my_table”: ``` $ beeline -u jdbc:hive2://localhost:10000 -n user1 -e "select * from my_table" ``` 综上所述,Sentry和Ranger使用方法都比较简单,可以根据实际需求选择合适的工具来管理Hive数据表的访问限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值