python连接kerberos验证的kafka

最新推荐文章于 2024-05-21 15:52:34 发布
最新推荐文章于 2024-05-21 15:52:34 发布
阅读量6.5k 收藏 11
点赞数 1
分类专栏: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28738845/article/details/82598386
版权

刚开始看python的kafka接口和java的有点不一样,没有那个keytab的参数设置,还以为不支持kerberos,后面发现原来是不用的,手动配一下就行了。

先配置好kerberos

yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation

配置下 /var/kerberos/krb5kdc/kdc.conf和/etc/krb5.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 DUNI.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = DUNI.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 DUNI.COM = {
  kdc = 192.168.0.102
  admin_server = 192.168.0.102
 }

[domain_realm]
 .duni.com = DUNI.COM
 duni.com = DUNI.COM

创建Kerberos database

kdb5_util create -s

修改/var/kerberos/krb5kdc/kadm5.acl文件用来设置权限,具体参考

https://docs.oracle.com/cd/E23823_01/html/816-5174/kadm5.acl-4.html#REFMAN4kadm5.acl-4

开启服务

service krb5kdc start

service kadmin start

chkconfig krb5kdc on

chkconfig kadmin on

添加principal

add_principal zookeeper/localhost@DUNI.COM

add_principal kafka/192.168.0.102@DUNI.COM

zookeeper和kafka是必须创建的,验证的时候会用到,启动zookeeper或者kafka server时可以从/var/log/krb5kdc.log看到验证的过程

导出keytab

ktadd -k /etc/security/keytabs/kafka_server.keytab kafka/192.168.0.102@DUNI.COM

切换到kafka用户启动zookeeper和kafka server,配置如下

config/zookeeper.properties

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

config/zookeeper_jaas.conf

Server{
    com.sun.security.auth.module.Krb5LoginModule required
    useKeyTab=true
    storeKey=true
    useTicketCache=false
    keyTab="/etc/security/keytabs/kafka_server.keytab"
    principal="zookeeper/localhost@DUNI.COM";
};

config/server.properties

advertised.host.name=192.168.0.102
advertised.listeners=SASL_PLAINTEXT://192.168.0.102:9092
listeners=SASL_PLAINTEXT://192.168.0.102:9092
authorizer.class.name = kafka.security.auth.SimpleAclAuthorizer
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=GSSAPI
sasl.enabled.mechanisms=GSSAPI
sasl.kerberos.service.name=kafka
super.users=User:kafka

 config/kafka_server_jaas.conf

KafkaServer {
      com.sun.security.auth.module.Krb5LoginModule required
      useKeyTab=true
      storeKey=true
      serviceName="kafka"
      keyTab="/etc/security/keytabs/kafka_server.keytab"
      principal="kafka/192.168.0.102@DUNI.COM";
  };

  // Zookeeper client authentication
Client {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  storeKey=true
  serviceName="zookeeper"
  keyTab="/etc/security/keytabs/kafka_server.keytab"
  principal="kafka/192.168.0.102@DUNI.COM";
};

启动前要设置环境变量,可以写到脚本里面

export KAFKA_OPTS='-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/home/kafka/kafka_2.11-2.0.0/config/zookeeper_jaas.conf'
bin/zookeeper-server-start.sh config/zookeeper.properties

export KAFKA_OPTS='-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/home/kafka/kafka_2.11-2.0.0/config/kafka_server_jaas.conf'
bin/kafka-server-start.sh config/server.properties

启动过程中可以根据/var/log/krb5kdc.log调试

 config/producer.properties config/consumer.properties

security.protocol=SASL_PLAINTEXT
sasl.mechanism=GSSAPI
sasl.kerberos.service.name=kafka

config/kafka_client_jass.conf

KafkaClient {
      com.sun.security.auth.module.Krb5LoginModule required
      useKeyTab=true
      storeKey=true
      keyTab="/etc/security/keytabs/kafka_server.keytab"
      serviceName="kafka"
      principal="kafka/192.168.0.102@DUNI.COM";
};
  // Zookeeper client authentication
Client {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  storeKey=true
  serviceName="zookeeper"
  keyTab="/etc/security/keytabs/kafka_server.keytab"
  principal="kafka/192.168.0.102@DUNI.COM";
};

启动producer和consumer也是要设置环境变量,可以写到脚本

export KAFKA_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/home/kafka/kafka_2.11-2.0.0/config/kafka_client_jass.conf"

如果要在其他机器用python连接kafka的话,首先把/etc/krb5.conf复制过来,keytab文件也要拿过来,然后kinit -kt keytab principal kinit成功之后你获取的票据就会缓存到本地,可以用klist查看,那个python除了装kafka-python外还有gssapi,也可以yum install python-gssapi,一个简单的连接例子如下

#coding=utf8

from kafka import KafkaProducer

producer = KafkaProducer(bootstrap_servers=["xxxx:9200"],
                         security_protocol="SASL_PLAINTEXT",
                         sasl_mechanism="GSSAPI",
                         sasl_kerberos_service_name="xxxx")
print "connect success."
future = producer.send("xxxx", "test")
result = future.get(timeout=60)
print "send success."

如果出现超时情况,可以检查下topic的权限问题

MJ92
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
python代码抒写开kerberos安全的kafka生产者消费
幽灵暗史
12-15 804
艰辛三天的时间,终于走通了。 前提说明: 针对kafka server开启了 kerberos认证,协议使用的GSSAPI协议。 经常用java代码写消费者,java代码支持GSSAPI协议,可以通过代码去登陆用户。 python也支持gssapi协议,但是需要通过kerberos客户端去登陆用户。 阅读源码--conn.py,发现是支持 GSSAPI的。 操作系统:Ce...
Python语言连接访问Kerberos认证下的HA HDFS
sx157559322的博客
07-03 1579
「目的描述」此篇文章目的是使用Python语言对启用Kerberos、High Availability的HDFS文件系统进行访问,主要介绍KerberosClient、pyarrow、hdfs3三种方式。「环境说明」Python运行环境为3.7.0集群环境为CDH6.2.1(已启用Kerberos认证)Namenode实例所在机器分别为cm111、cm112废话不多说,直接上代码1、HdfsCl...
连接kafka通过krb
最新发布
qq_57697356的博客
05-21 180
sprinboot acl认证连接kafka服务器 krb5、jaas、acl认证
python操作带Kerberos验证Kafka
Neo
03-03 8921
安装Kerberos客户端 yum install krb5-workstation 使用which kinit查看是否安装成功; 安装gssapi和kafka-python模块 pip install gssapi kafka-python python demo如下 # -*- coding: utf-8 -*- import os import json import time from kafka import KafkaProducer from kafka import Kafk..
Python通过kerberos安全认证操作kafka
热门推荐
竹筒小神
11-14 1万+
【坑】Python通过kerberos安全认证操作kafka 如何通过Kerberos认证. 1.安装Kerberos客户端 CentOS: yum install krb5-workstation 使用which kinit查看是否安装成功; 2.拷贝Kerberos配置文件 conf目录下krb5.confkafka.keytab和jaas.conf拷贝到客户端机器的etc目录, ...
python连接kerberos认证的kafka
sansan_ge的博客
12-28 2366
python连接kerberos认证的kafka
Python通过kerberos安全认证操作kafka方式
12-17
如何通过Kerberos认证. 1.安装Kerberos客户端 CentOS: yum install krb5-workstation 使用which kinit查看是否安装成功; 2.拷贝Kerberos配置文件 conf目录下krb5.confkafka.keytab和jaas.conf拷贝到客户端机器的etc目录, 同时,krb5.conf中的kdc集群主机名和IP配置到客户端机器hosts配置文件中 3.Kinit客户端通过kerberos认证 获取Principal klist -kt kafka.keytab 4.安装python-gssapi pip install
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
总的来说,使用Kerberos认证的Python连接Hive和HDFS需要安装正确的依赖、配置Kerberos环境,并正确地编写Python代码来利用Kerberos进行身份验证。这个过程虽然复杂,但是一旦设置成功,就能提供安全且可靠的访问控制...
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
为了在Flink中安全地连接Kafka,我们需要使用Kerberos协议,这是一个广泛采用的网络身份验证协议,可以提供互操作性和可扩展性。 1. **Kerberos基础** - Kerberos基于票证验证机制,确保只有经过身份验证的用户...
基于kerberos认证的 python操作hdfs
Areigninhell的博客
09-23 1145
import json, os from hdfs.ext.kerberos import KerberosClient from krbcontext import krbcontext def _connect(self, host, port, sso_ticket=None): try: hdfs_url = 'http://' + host + ':' + port active_str = 'kinit -kt {0}
Zookeeper详解(十):Python连接和操作Zookeeper
weixin_33958366的博客
07-21 794
Python对Zookeeper的基本操作#!/usr/bin/envpython #-*-coding:utf-8-*- importsys fromkazoo.clientimportKazooClient defmain(): try: nodePath="/zktest" host="172....
python推送数据到kafkakerberos服务验证(ubuntu)
旷古的寂寞的博客
07-07 944
1. 安装必要的依赖包 apt-get install krb5-kdc libkrb5-dev python3-six -y --fix-missing pip3 install gssapi==1.6.6 kafka-python==2.0.1 -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com 2. 获取必要的配置文件krb5.confkafka.keytab、jaas.conf放到/etc目录
linux sssd加入AD域 Key table file ‘/etc/krb5.keytab‘ not found
qq331565760的专栏
03-24 1032
linux sssd realm 加入AD域
安装librdkafka和使用C语言操作kafka的范例
Lion_Long的博客
11-29 3712
一、安装librdkafka。 二、开启kafka相关服务:启动zookeeper、启动Kafka、创建topic。 三、c语言操作kafka的范例:消费者、生产者、生产者和消费者的交互。
kerberos安装配置
hongbinchen的专栏
08-23 1956
原文地址:http://running.iteye.com/blog/963383 kerberos安装配置 博客分类:  hadoop 配置管理XMLWeb 安装步骤:  1.下载krb5-1.9  http://web.mit.e
简洁易懂的kerberos的安全认证原理及搭建流程并集成到CDH中
weixin_43255026的博客
05-21 1399
一.Kerberos认证过程解析 Kerveros解决的是如何证明某个人就是他声称的那个人。 采用的方法:有一个仅存在A和B之间的秘密,如果有人对A声称自己就是B,那么A通过让B提供这个秘密来证明这个人就是B。 这样的验证过程中有几个问题需要解决: 1.秘密怎样表示 2.B如何向A提供这个秘密 3.A如何识别这个秘密 4.秘密是怎么生成,并且仅告知A和B 首先明白几个概念: Long-term k...
python连接hive kerberos_【华为云技术分享】使用Python连接Kerberos的Presto
weixin_39644750的博客
12-24 428
Python连接presto开源提供了以下两个库可以使用接下来就来分别实践一下,这两种客户端。环境准备1.创建一台Ubuntu的ECS,VPC选择和MRS集群一致2.下载安装apt-get,pip3,python33.安装MRS客户端遇到的报错:Error: Network time protocol(NTP) not running. Please st...
kafka怎么通过kerberos连接
07-25
Kafka可以通过Kerberos进行身份验证和安全连接。下面是通过Kerberos连接Kafka的步骤: 1. 配置Kafka服务器: - 在Kafka服务器上安装Kerberos客户端和服务端软件。 - 配置Kafka服务器的`server.properties`文件,设置以下属性: ``` listeners=SASL_PLAINTEXT://<kafka_server>:<kafka_port> security.inter.broker.protocol=SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol=GSSAPI sasl.enabled.mechanisms=GSSAPI sasl.kerberos.service.name=kafka ``` - 启动Kafka服务器。 2. 创建Kerberos主体和Keytab文件: - 在Kerberos服务器上创建一个服务主体(例如:`kafka/kafka_server_hostname@REALM`)。 - 为该服务主体生成Keytab文件,并将其分发到Kafka服务器。 3. 配置Kafka客户端: - 在Kafka客户端上安装Kerberos客户端软件。 - 配置Kafka客户端的`client.properties`文件,设置以下属性: ``` bootstrap.servers=<kafka_server>:<kafka_port> security.protocol=SASL_PLAINTEXT sasl.mechanism=GSSAPI sasl.kerberos.service.name=kafka sasl.kerberos.principal=<kafka_client_principal> sasl.kerberos.keytab=<kafka_client_keytab> ``` - 将Kerberos客户端的`krb5.conf`文件配置为正确的Kerberos Realm和KDC信息。 4. 使用Kafka客户端: - 使用Kafka提供的Kerberos认证库进行身份验证连接。 - 例如,使用Kafka命令行工具发送和接收消息: ``` kafka-console-producer.sh --broker-list <kafka_server>:<kafka_port> --topic <topic> --producer.config client.properties kafka-console-consumer.sh --bootstrap-server <kafka_server>:<kafka_port> --topic <topic> --consumer.config client.properties ``` 通过以上步骤,你可以通过Kerberos安全连接Kafka。请确保正确配置KerberosKafka的相关参数,并提供正确的主体和Keytab文件路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值