在Kafka2.7.2中进行SASL_SCRAM认证配置

最新推荐文章于 2024-07-01 10:46:27 发布
最新推荐文章于 2024-07-01 10:46:27 发布
阅读量620 收藏 1
点赞数
文章标签: debian linq 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010782920/article/details/134140241
版权

在Kafka2.7.2中进行SASL_SCRAM认证配置

1. 启动Zookeeper

​ 在没有设置任何权限的配置下启动Zookeeper:

nohup sh ./bin/zookeeper-server-start.sh ./config/zookeeper.properties  >/dev/null 2>&1 &

2 创建SCRAM证书

2.1 创建broker通信用户admin

​ 在使用sasl之前必须先创建,否则启动报错

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin-succ],SCRAM-SHA-512=[password=admin-succ]' --entity-type users --entity-name admin

2.2 创建生产用户producer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=producer-succ],SCRAM-SHA-512=[password=producer-succ]' --entity-type users --entity-name producer

2.3 创建消费用户:consumer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=consumer-succ],SCRAM-SHA-512=[password=consumer-succ]' --entity-type users --entity-name consumer

​ SCRAM-SHA-256/SCRAM-SHA-512是对密码加密的算法,二者有其一即可。

3 维护SCRAM证书

3.1 查看SCRAM证书

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --describe --entity-type users --entity-name producer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --describe --entity-type users --entity-name consumer

3.2 删除SCRAM证书

bin/kafka-configs.sh --zookeeper localhost:2181 --alter --delete-config 'SCRAM-SHA-512' --delete-config 'SCRAM-SHA-256' --entity-type users --entity-name producer

4 服务端配置

​ 在用户证书创建完毕之后开始Kafka服务端的配置

4.1 创建JAAS文件

​ 进入kafka/config文件夹,执行以下命令:

cat > kafka_server_jaas.conf << EOF
KafkaServer {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin-succ";
};
EOF

4.2 启动加载jaas配置文件

​ 进入kafka/bin文件夹,在 kafka-server-start.sh 最上方添加(路径换成自己的)

export KAFKA_OPTS=" -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_server_jaas.conf"

4.3 配置server.properties【config/server.properties】

​ 将下面配置添加至其中

#认证配置
listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
sasl.enabled.mechanisms=SCRAM-SHA-256

#ACL配置
allow.everyone.if.no.acl.found=false
super.users=User:admin
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

​ 可以根据自己的需求选择SASL_SSL或SASL_PLAINTEXT, PLAINTEXT为不加密明文传输,性能好一点。

4.4 配置完后重启Zookeeper,再启动Kafka

./bin/zookeeper-server-stop.sh

nohup sh ./bin/zookeeper-server-start.sh ./config/zookeeper.properties  >/dev/null 2>&1 &
 
nohup sh ./bin/kafka-server-start.sh ./config/server.properties  >/dev/null 2>&1 &

5 客户端配置

5.1 创建的三个用户的三个JAAS文件

kafka_client_scram_admin_jaas.conf
kafka_client_scram_producer_jaas.conf
kafka_client_scram_consumer_jaas.conf
EOF

​ 进入kafka/config文件夹,执行以下命令:

cat > kafka_client_scram_admin_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin-succ";
};
EOF

cat > kafka_client_scram_producer_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="producer"
    password="producer-succ";
};
EOF

cat > kafka_client_scram_consumer_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="consumer"
    password="consumer-succ";
};
EOF

5.2 在启动脚本中引入JAAS文件

​ 进入kafka/bin文件夹,在 kafka-console-producer.sh 最上方添加(路径换成自己的):

export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_client_scram_producer_jaas.conf"

​ 进入kafka/bin文件夹,在 kafka-console-consumer.sh 最上方添加(路径换成自己的):

export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_client_scram_consumer_jaas.conf"

5.3 配置consumer.properties和producer.properties,都加入以下配置

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256

5.4 创建配置文件command_config.properties

​ 该文件其实也是配置的连接Kafka的用户配置文件,但是该文件用于kafka-acls.sh,kafka-configs.sh等文件,同样的名称和路径可自定义,我这里还是把该文件放到解压的config目录中,内容如下:

sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-succ";
security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256

5.5 创建主题

bin/kafka-topics.sh --zookeeper 127.0.0.1:2181 --create --topic test --partitions 3 --replication-factor 1

bin/kafka-topics.sh --zookeeper 127.0.0.1:2181 --list

#或者:

bin/kafka-topics.sh --create --bootstrap-server 127.0.0.1:9092 --topic test --partitions 3 --replication-factor 1 --command-config ./config/command_config.properties

bin/kafka-topics.sh --list --bootstrap-server 127.0.0.1:9092 --command-config ./config/command_config.properties

5.6 启动生产

bin/kafka-console-producer.sh --broker-list 127.0.0.1:9092 --topic test --producer.config config/producer.properties

5.7 对生产者赋予写的权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=127.0.0.1:2181 --add --allow-principal User:producer --operation Write --topic test

5.8 查看权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=127.0.0.1:2181 --list

5.9 对消费者赋予读的权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=127.0.0.1:2181 --add --allow-principal User:consumer --operation Read --topic test

5.10 对消费者赋予组的权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=127.0.0.1:2181 --add --allow-principal User:consumer --operation Read --group test-consumer-group

5.11 启动消费者

bin/kafka-console-consumer.sh --bootstrap-server 127.0.0.1:9092 --topic test --from-beginning --consumer.config config/consumer.properties

参考文档

(1):Kafka配置动态SASL_SCRAM认证

武舞悟
关注
huaweicloudDocs#kafka#创建SASL_SSL用户1
07-25
创建SASL_SSL用户Kafka专享版实例开启SASL_SSL后,参考本章节创建SASL_SSL用户,并在TopicSASL_SSL用户设置不同的权限,以
Kafka动态认证SASL/SCRAM配置+整合springboot配置
weixin_52925162的博客
11-11 8759
Kafka动态认证SASL/SCRAM配置+整合springboot配置
Kafka部署全攻略——基于SASL_SCRAM认证的ACL权限控制
bbsxb520的博客
06-28 368
基于SASL_SCRAM认证的ACL权限控制
Kafka3.7.0进行SASL_SCRAM认证配置_不使用自带zookeeper
最新发布
u010782920的博客
07-01 859
kafka3.7.0 sasl_scram 使用单独下载的zookeeper
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 2041
zookeeper和kafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
kafka集群搭建+权限认证SASL/SCRAM)+整合springboot
xianglinsao123的专栏
03-19 6297
1、创建kafka日志和zookeeper文件目录: /data/kafka/kafka-logs /data/zookeeper/zkdata /data/zookeeper/zklogs 2、修改kafka配置文件server.properties 2.1、将原文件重命名为server.properties_bak20220311 2.2、新建server.properties,编辑: # fixed params listeners=PLAINTEXT://10.132.105.20:9092 a
Kafka配置动态SASL_SCRAM认证
冰之杍的博客
10-12 3992
(Kafka配置动态SASL_SCRAM认证)Kafka需要加上认证,并动态新增用户,SASL/SCRAM验证可以支持
配置好的kafka_2.12-2.8.0 + SCRAM-SHA-256
12-02
在本文,我们将深入探讨Kafka配置SCRAM-SHA-256的工作原理以及如何在Kafka集群设置和使用它。 ### Kafka基本概念 Kafka作为一个消息队列,允许应用程序发布和订阅实时数据流。它以高吞吐量、持久化和容错...
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
Python confluent kafka客户端配置kerberos认证流程详解
01-19
第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
Kafka配置参数详解 - 网络技术.rar_KAFKA broker_Kafka配置参数详解_kafka
09-14
在Apache Kafka,broker是消息间件的核心组件,它负责接收、存储和转发消息。`server.properties`配置文件是每个Kafka broker的核心配置文件,它定义了Kafka节点的行为和性能特性。本篇将深入探讨Kafka配置参数...
Kafka安全认证机制详解之SASL_SCRAM
空城的博客
01-05 2944
SASL/SCRAM 通过将认证用户信息保存在 ZooKeeper 的方式,避免了动态修改需要重启 Broker 的弊端。在实际使用过程,可以使用 Kafka 提供的命令动态地创建和删除用户,无需重启整个集群。因此,如果打算使用 SASL/PLAIN,不妨改用 SASL/SCRAM 试试。不过要注意的是,后者是 0.10.2 版本引入的。
Kafka部署全攻略——Kafka SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 737
Kafka SASL_SCRAM安全认证实现
Kafka SASL认证与ACL配置
u010100623的博客
04-30 1749
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
鉴权kafka生产端(SCRAM
长臂人猿的博客
10-27 2376
前言 kafka官网关于sasl_scram 鉴权Kafka消费端配置 创建SCRAM Credentials 依赖zk,需要先启动zk,然后在zk创建存储SCRAM 凭证: cd kafkacluster/kafka_2.11-1.1.1 bin/kafka-configs.sh --zookeeper zkIP1:2181,zkIP2:2181,zkIP3:2181/lxgkafka --alter --add-config 'SCRAM-SHA-256=[password=admin-secr
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 901
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Kafka 开启SASL/SCRAM认证 及 ACL授权(二)ACL
代码讲故事
10-13 835
Kafka 开启SASL/SCRAM认证 及 ACL授权(二)ACL。
Kafka安全认证-Kerberos&SCRAM
麦田里的守望者-蒋中洲【相信相信的力量】
02-26 832
配置SASL/PLAIN验证,实现了对Kafka的权限控制。但SASL/PLAIN验证有一个问题:只能在JAAS文件KafkaServer配置用户,一但Kafka启动,无法动态新增用户。SASL/SCRAM验证可以动态新增用户并分配权限安装步骤.
Kafka部署全攻略——基于SSL的SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 550
基于SSL的SASL_SCRAM安全认证实现
kafka2.7 安装设置SASL_PLAINTEXT
04-05
Kafka配置文件,还需要指定认证机制。例如,可以使用PLAIN认证机制进行身份验证。需要添加以下配置项: ``` sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAIN sasl.server....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值