基于HDP3.1的Kafka对Kerberos的SASL认证

最新推荐文章于 2023-08-07 16:00:51 发布
最新推荐文章于 2023-08-07 16:00:51 发布
阅读量634 收藏 3
点赞数 1
分类专栏: Kafka Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42687074/article/details/103250953
版权

前文:

           公司使用Ambari2.7平台,需要自己搭测试环境,所以自己研究后,分享给大家。

目录

一、Ambari平台上修改Kafka配置

1、修改协议

2、修改机制

二、创建Kerberos授权用户

0、登录管理者

1、添加用户权限

2、生成keytab文件并拷贝到各个主机

三、配置认证

0、Kerberos客户端认证

1、配置客户端JAAS的Kerberos权限配置文件(指定keytab和principal)

2、配置服务器指定协议和安全机制配置文件

四、Kafka主题配置

1、创建主题

2、用户授权

3、生产者ACL授权                                                      

 4、消费者ACL授权

五、Kafka数据生产与消费

1、通知JVM配置JAAS文件和Krb文件,临时有效

2、生产数据 (指定协议和安全机制的properties文件)

3、消费数据(指定协议和安全机制的properties文件)

六、代码案例

七、Linux和Window区别

1、Krb文件

2、Windows上配置了java也可以下载MIT Kerberos后使用kinit进行keytab认证

 

一、Ambari平台上修改Kafka配置

1、修改协议

listeners = SASL_PLAINTEXT://hadoop122:9092
security.inter.broker.protocol = SASL_PLAINTEXT

2、修改机制

sasl.enabled.mechanisms = GSSAPI
sasl.mechanism.inter.broker.protocol = GSSAPI

 

二、创建Kerberos授权用户

0、登录管理者

kadmin.local

1、添加用户权限

add_principal kafkauser

2、生成keytab文件并拷贝到各个主机

xst -norandkey -k /etc/security/keytabs/clientkafka.service.keytab kafkauser@HADOOP.COM
scp /etc/security/keytabs/clientkafka.service.keytab root@hadoop123:/etc/security/keytabs/clientkafka.service.keytab
scp /etc/security/keytabs/clientkafka.service.keytab root@hadoop124:/etc/security/keytabs/clientkafka.service.keytab

 

三、配置认证

0、Kerberos客户端认证

kinit -kt /etc/security/keytabs/clientkafka.service.keytab kafkauser@HADOOP.COM

1、配置客户端JAAS的Kerberos权限配置文件(指定keytab和principal)

vim kafkauser_client_jaas.conf
KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
storeKey=true
client=true
serviceName="kafka"
keyTab="/etc/security/keytabs/clientkafka.service.keytab"
principal="kafkauser";
};

注:由于Ambari已把服务器JAAS配置好,使用其他平台请参考服务器默认配好的示例

KafkaServer {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab="{{kafka_keytab_path}}"
storeKey=true
useTicketCache=false
serviceName="{{kafka_bare_jaas_principal}}"
principal="{{kafka_jaas_principal}}";
};
KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
renewTicket=true
serviceName="{{kafka_bare_jaas_principal}}";
};
Client {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab="{{kafka_keytab_path}}"
storeKey=true
useTicketCache=false
serviceName="zookeeper"
principal="{{kafka_jaas_principal}}";
};

2、配置服务器指定协议和安全机制配置文件

vim kafkauser.properties
security.protocol=SASL_PLAINTEXT
sasl.mechanism=GSSAPI
sasl.kerberos.service.name=kafka

注:对应一开始设置的协议和安全机制

 

四、Kafka主题配置

1、创建主题

bin\kafka-topics.sh --create --zookeeper hadoop122:2181 --partitions 1 --replication-factor 1 --topic kerber_test

2、用户授权

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=hadoop122:2181,hadoop123:2181,hadoop124:2181 --add --allow-principal User:kafkauser --operation All --topic kerber_test

3、生产者ACL授权                                                      

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=hadoop122:2181,hadoop123:2181,hadoop124:2181 --allow-principal User:kafkauser --producer --topic=*  --add

 4、消费者ACL授权

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=hadoop122:2181,hadoop123:2181,hadoop124:2181 --allow-principal User:kafkauser --consumer --topic=* --group=* --add

 

五、Kafka数据生产与消费

1、通知JVM配置JAAS文件和Krb文件,临时有效

export KAFKA_OPTS="-Djava.security.auth.login.config=/usr/hdp/3.1.0.0-78/kafka/bin/kafkauser_client_jaas.conf"
export KRB_OPTS="-Djava.security.krb5.conf = /etc/kafka/krb5.conf"

2、生产数据 (指定协议和安全机制的properties文件)

bin/kafka-console-producer.sh --broker-list hadoop122:9092,hadoop123:9092,hadoop124:9092 --topic kerber_test --producer.config /usr/hdp/3.1.0.0-78/kafka/bin/kafkauser.properties

3、消费数据(指定协议和安全机制的properties文件)

bin/kafka-console-consumer.sh --bootstrap-server hadoop122:9092,hadoop123:9092,hadoop124:9092 --topic kerber_test --consumer.config /usr/hdp/3.1.0.0-78/kafka/bin/kafkauser.properties

 

六、代码案例

        //Kerberos权限认证,指定JAAS权限配置文件
        System.setProperty("java.security.auth.login.config", "./kafkauser_jaas.conf");
        //Kerberos客户端环境信息,指定krb5配置文件
        System.setProperty("java.security.krb5.conf", "./krb5.conf");
        Properties props = new Properties();
        props.put("bootstrap.servers", "hadoop122:9092");//kafka集群,broker-list
        props.put("acks", "all");
        props.put("retries", 1);//重试次数
        props.put("batch.size", 16384);//批次大小
        props.put("linger.ms", 1);//等待时间
        props.put("buffer.memory", 33554432);//RecordAccumulator缓冲区大小
        props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer");
        props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer");

        //服务器协议和安全机制的properties配置文件
        props.put("sasl.mechanism", "GSSAPI ");
        props.put("security.protocol", "SASL_PLAINTEXT");
        props.put("sasl.kerberos.service.name", "kafka");

 

七、Linux和Window区别

1、Krb文件

Linux:/etc/krb5.conf

Windows:C:\ProgramData\MIT\Kerberos5\krb5.ini

2、Windows上配置了java也可以下载MIT Kerberos后使用kinit进行keytab认证

 

CesarChoy
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CDH集群关闭Kerberos验证
sharkdoodoo
04-24 1378
说明:在CDH开启Kerberos(参见我之前写的CDH集群开启Kerberos安全认证 )之后可能会由于某些情况再次关闭,在关闭的需要注意一些地方,具体如下 HBase关闭: 修改hbase.security.authentication为simple 取消勾选hbase.security.authorization HDFS关闭和修改配置: 修改hadoop.security...
CDH6.0 取消KERBEROS认证
theminer的博客
12-24 1869
CDH6.0 取消KERBEROS认证 标签:CDHkerberos 首先停止集群所有服务。 1 zookeeper 1.1 enableSecurity取消勾选。 1.2 取消勾选sasl 2HDFS 修改Hadoop的安全身份验证 第一个选为simple,第二个取消勾选 修改DataNode的数据目录权限为755(原值为700) 修改DataNode服务的端口号,分别修改为9866和9864(原值为1004 1006) ...
Ambari-2.7.4.0 + HDP-3.1.4.0网盘地址.txt
04-20
Cloudera收费之后,CDH和HDP都需要订阅才能下载,这里是网盘地址,欢迎大家下载。内容包括ambari-2.7.4.0-centos7.tar.gz,HDP-3.1.4.0-centos7-rpm.tar.gz,链接失效或者部署过程遇到任何问题可以私信我,同时列举了几条之前项目环境部署过程遇到过的问题及解决办法,有爱好大数据领域的同学也可以私信我交流,互相学习,共同进步。
Ambari+HDP集群关闭kerberos认证后遇到的问题
我的博客
06-25 2437
文章目录集群环境操作场景场景一问题及解决方法Hive服务无法启动Hbase服务启动不了Kakfa服务启动不了场景二问题及解决方法HDFS使用hadoop fs 指令出错重启YARN出错HDFS的Datanode不可用跑测试mr出错 集群环境 这里使用的场景是Ambari:2.5.2+HDP:2.6.4 在开启kerberos论证服务后,安装过的Hadoop系列组件均可正常使用,包括hdfs、map...
kafkakerberossasl安全认证:命令行消费指定topic数据
海若_matrix的博客
12-24 5448
1.指令 /usr/hdp/kafka/bin/kafka-console-consumer.sh ... 2.注意事项 1.添加对应sasl安全认证的参数 正常指令后边添加参数:... 2.使用命令前要刷新keberos票据 指令:kinit -..
ambari关闭kerberos
warrah 南极狼
07-09 1138
Ambari+HDP集群关闭kerberos认证后遇到的问题 先关闭kerberos。 有一台机器关掉有问题, Traceback (most recent call last): File "/var/lib/ambari-agent/cache/stacks/HDP/3.0/services/SPARK2/package/scripts/job_history_server.py", line 102, in <module> JobHistoryServer().execut
Kerberos之配置HDP组件Kafka(四)
m0_48187193的博客
03-16 678
标题为Kerberos配置HDP组件 本节介绍如何配置Kerberos以对Ambari受管群集HDP组件进行强身份验证。 为Kerberos配置Kafka 本节介绍如何在Ambari管理的群集上为Kafka配置Kerberos安全性。 KafkaKerberos安全性是一项可选功能。 启用安全性后,功能包括: •对客户端与代理之间的连接(消费者,生产者)进行身份验证 •基于ACL的授权 Kerberos for Kafka先决条件 如果要为Kerberos配置Kafka,则群集必须满足一些先决条件,然
【可视化工具】kafka-manager配置及安装Kerberos(Ambari-HDP)认证
康师傅没有眼泪
03-20 1762
为了简化开发者和服务工程师维护Kafka集群的工作,yahoo构建了一个叫做Kafka管理器的基于Web工具,叫做 Kafka Manager(已改名为 cmak)。 这个管理工具可以很容易地发现分布在集群的哪些topic分布不均匀,或者是分区在整个集群分布不均匀的的情况。
Kafka 认证三:添加 Kerberos 认证详细流程
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
11-18 5391
上一章节介绍了 Kerberos 服务端和客户端的部署过程,本章节继续介绍 Kafka 添加 Kerberos 认证的部署流程,及 Java API 操作的注意事项。
kafka集群开启SASL/Kerberos安全认证
shy_snow的专栏
06-30 2827
Kafka使用JAAS(Java认证和授权服务)进行SASL(基于网络连接的安全认证机制)配置。 通过三个步骤即可实现JAAS安全认证: (1) 配置jaas相关信息 (2) 开启SASL/Kerberos认证 (3) 通过脚本将配置信息传递给java虚拟机,这样java的JAAS服务才能根据配置进行认证和授权服务。 不论是zookeeper集群还是kafka集群都是如此。 .........
HDP 3.1 Tez 移植指南(CentOS 7.6).docx
12-30
centos 移植到arm架构
Ambari-2.7.3.0+HDP-3.1.0.0-Ubuntu安装包
09-28
目录:Hidataplus->hdp3.1.0 说明:里面还有ubutntu18和centos7两个版本的 按需使用
Ambari2.7.5+HDP3.1.5 离线安装网盘下载地址
09-16
免费的。还有HDP3.2.1等资源,欢迎下载,转发,收藏,点赞!
Ambari-2.7.5.0和HDP-3.1.5.0离线包网盘地址-给点积分意思下就行
10-20
网盘下载包括: ambari-2.7.5.0-centos7.tar.gz HDP-3.1.5.0-centos7-rpm.tar.gz HDP-GPL-3.1.5.0-centos7-gpl.tar.gz HDP-UTILS-1.1.0.22-centos7.tar.gz
Kafka3.4 SASL/kerberos/ACL 证以及 SSL 加密连接
最新发布
青冬的博客
08-07 2253
kafka sasl 搭建,以及 SSL 传输加密搭建,最新版本 kafka3.4 实操。 其他节点只需要安装执行
编写kafka认证kerberos
weixin_35748962的博客
01-03 341
首先,您需要在您的Kafka集群上安装Kerberos服务器和客户端。具体来说,您可以在每台Kafka服务器上安装Kerberos客户端,并在某台服务器上安装Kerberos服务器。接下来,您需要配置Kafka使用Kerberos认证。在Kafka的配置文件,您需要设置以下属性: sasl.kerberos.service.name: 这是Kafka服务的Kerberos服务名称,通常为"ka...
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 7915
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
Kerberos安全认证-连载12-Kafka Kerberos安全配置及访问
qq_32020645的博客
06-22 3935
技术连载系列,前面内容请参考前面连载11内容:​​​​​​​​​​​​​​Kafka也支持通过Kerberos进行认证,避免非法用户操作读取Kafka的数据,对Kafka进行Kerberos认证可以按照如下步骤实现。在kerberos服务端node1节点执行如下命令将Kafka服务主体写入到keytab文件。
Kafka 3.2 文档(翻译) - 3.3 生产者配置
lijiewen2017的博客
08-22 298
生产者配置项,包括重试、幂等、事务、超时、反馈
kafka parcel下载
06-27
用户可以使用Kafka parcel将Kafka轻松安装在CDH(Cloudera Distribution of Hadoop)或HDP(Hortonworks Data Platform)集群上。 要下载Kafka parcel,用户可以前往Cloudera或Hortonworks官方网站,搜索Kafka ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值