kafka快速配置启用ACL示例

最新推荐文章于 2024-04-30 15:34:57 发布
最新推荐文章于 2024-04-30 15:34:57 发布
阅读量3k 收藏 8
点赞数
分类专栏: 消息中间件 文章标签: kafka sasl 认证授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x763795151/article/details/119940025
版权

前言

kafka支持基于SSL和SASL两种认证机制,本文以SASL说明。

kafka支持的SASL机制有5种:GSSAPI、PLAIN、SCRAM、OAUTHBEARER、Delegation Token。

本文使用SCRAM认证方式:一种通过用户名/密码的认证机制,可以动态增加和删除(PLAIN也是用户名/密码认证,但是写死在配置文件,增加新配置需要重启)

kafka版本我现在用的是从github trunk分支拉的最新代码,启动的版本信息如下:

Starting build with version 3.1.0-SNAPSHOT using Gradle 7.1.1, Java 1.8 and Scala 2.13.6

一定要注意版本,有些是进行的调整,直接复制不一定对的上。

认证

1. 新增管理员用户

sh bin/kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin],SCRAM-SHA-512=[password=admin]' --entity-type users --entity-name admin

新增管理员:admin/admin。此时已经启动zk,但是没有启动broker,因为这些用户信息在zk上保存。

在新版本中大多命令都是建议--bootstrap-server代替--zookeeper,这条命令可以不用,因为还没启动broker,当然也可以先启动broker,使用--bootstrap-server来增加这个管理员用户,然后再把broker停掉。

2. 启用ACL配置

在server.properties增加如下配置:

listeners=SASL_PLAINTEXT://localhost:9092
sasl.enabled.mechanisms=SCRAM-SHA-256
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
security.inter.broker.protocol=SASL_PLAINTEXT
authorizer.class.name=kafka.security.authorizer.AclAuthorizer
super.users=User:admin;User:xuxiaodong

最后一项配置super.users是配置超级管理员,示例是配置了两个用户:admin和xuxiaodong,前面新增管理员的命令只增加admin这个用户,增加xuxiaodong请再执行一次命令,这里配置2个只是示例,多个用户就这样配置(User:用户名,然后以分号分隔)。

3. 配置jaas

在config目录下创建:kafka-broker.jaas文件,内容如下:

KafkaServer {
org.apache.kafka.common.security.scram.ScramLoginModule required
username="admin"
password="admin";
};

如果有多个broker,第2、3步,每个broker都需要这样配置。

4. 启动broker

修改启动脚本bin/kafka-server-start.sh,在前面几行找个地方增加如下启动参数:

export KAFKA_OPTS=" $KAFKA_OPTS -Djava.security.auth.login.config=/Users/xuxd/SourceCode/github/kafka/kafka/config/kafka-broker.jaas

配置里需要指定第3步的jaas文件。

服务器端的配置已经结束,启动broker。

5. 新增用户

增加两个用户,一个叫writer,后面用来给topic发送消息,一个叫reader,后面用来消费消息。

sh bin/kafka-configs.sh --bootstrap-server localhost:9092 --alter --add-config 'SCRAM-SHA-256=[password=writer],SCRAM-SHA-512=[password=writer]' --entity-type users --entity-name writer --command-config cmd-config


sh bin/kafka-configs.sh --bootstrap-server localhost:9092 --alter --add-config 'SCRAM-SHA-256=[password=reader],SCRAM-SHA-512=[password=reader]' --entity-type users --entity-name reader --command-config cmd-config

注意命令最后有个--command-config cmd-config,这是因为启用权限认证后,执行命令配置一下相关认证信息,否则授权失败,命令是不会正常处理的,cmd-config内容如下:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin";

授权

这里新增用户和授权是分开的,需要单独再配置,admin用户就不用了,因为在前面已经作为超级管理员配置过了。

但是前面增加了writer和reader两个用户,是没有权限发送或消费消息的,需要单独给他们配置权限。

1. 给writer用户配置发送到test_topic这个主题的消息发送权限

sh bin/kafka-acls.sh --bootstrap-server 'localhost:9092' --add --allow-principal User:"writer" --producer --topic 'test_topic' --command-config cmd-config

2. 给reader用户配置使用消费组test_topic_consumer消费test_topic消息的权限

sh bin/kafka-acls.sh --bootstrap-server 'localhost:9092' --add --allow-principal User:"reader" --consumer --topic 'test_topic' --group 'test_topic_consumer' --command-config cmd-config

配置完之后,可以看到输出的权限信息如下:

客户端使用验证

这里就不用自带的脚本发送或消费消息测试了,直接用客户端代码验证一下,代码示例就不提供了,这东西你随便一搜都能找到:

消息发送如果没有配置权限,消息发送失败:

 客户端日志如下:

服务端的日志如下:

 给producer配置sasl认证信息,增加下面几项配置:

        props.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, "SASL_PLAINTEXT");
        props.put(SaslConfigs.SASL_MECHANISM, "SCRAM-SHA-256");
        props.put(SaslConfigs.SASL_JAAS_CONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username=\"writer\" password=\"writer\";");

再发送消息就正常发送了。

消费端也是和发送端一样增加上面几项配置即可,注意修改为对应的用户名和密码。

不识君的荒漠
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
单机 kafka 配置 kerberos,设置 ACL 权限
10-10
kafka 配置 kerberos,设置 ACL权限, java 客户端连接。
kafka参数配置详解
03-24
Kafka参数配置详解 Kafka是一种流行的分布式流处理平台,用于构建实时数据管道和事件驱动的架构。为了确保Kafka集群的稳定运行和高性能,需要正确地配置Kafka参数。本文将详细介绍Kafka的参数配置,包括系统参数、...
Kafka SASL认证ACL配置
最新发布
u010100623的博客
04-30 1081
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
Kafka集群】Kafka针对用户做ACL权限控制
后端研发工程师Marion的博客
05-18 4017
Kafka 3.3.1 中,可以使用 ACL(Access Control List)控制用户对 topic 的访问权限。在命令行中执行以下命令创建一个名为my-topic其中是一种内置的 ACL 校验器,User:admin是一组超级管理员。如果没有在配置文件中指定 super.users,则只有在 Zookeeper 上配置了访问控制时才会应用 ACL 规则。b. 为特定用户或组添加 ACL 规则现在,开发人员组可以对该 topic 进行读写操作。
解决Kafka3.4版本授权认证失效的问题
c2978663496的博客
09-01 670
Kafka版本:3.4.1授权认证方式:SASL Plaintext。
kafka Acl权限管理
weixin_40496191的博客
04-16 5694
文章目录一、背景二、操作指令三、ACL权限整合springboot四、Acl整合java代码 一、背景 实现对主题的订阅控制,动态分配客户端的读写权限。 二、操作指令 创建writer用户,密码是writer-pwd: ./kafka-configs.sh --zookeeper 192.168.248.100:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=writer-pwd],SCRAM-SHA-512=[pas
kafka acl配置
ahzsg1314的专栏
01-06 1万+
1、环境查看 指令,确认环境无授权信息 [root@zdh167 bin]# ./kafka-acls.sh --list --authorizer-properties zookeeper.connect=localhost:2181/kafka  [root@zdh167 bin]#  2、授权用户集群管理权限 [root@zdh167 bin]# ./kafka-acls.sh -
kafka权限认证
热门推荐
shengjk1的博客
11-14 2万+
背景: 最近公司因为用的云服务器,需要保证kafka的安全性。可喜的是kafka0.9开始,已经支持权限控制了。网上中文资料又少,特此基于kafka0.9,记录kafaka的权限控制。 下面各位看官跟着小二一起开始kafak权限控制之旅吧!嘎嘎嘎!介绍: kafka权限控制整体可以分为三种类型: 1.基于SSL 2.基于Kerberos(本文不与讨论) 3.基于acl的 本文主要基于1
Kafka配置信息.docx
10-28
Kafka 配置信息总结 Kafka 是一个基于 Publish-Subscribe 模式的分布式消息队列系统,配置信息是 Kafka 集群的核心组件。本文将对 Kafka 配置信息进行详细的解析,帮助读者更好地理解 Kafka配置机制。 Broker ...
Spring纯Java配置集成kafka代码实例
08-25
主要介绍了Spring纯Java配置集成kafka代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Nginx整合Kafka的方法示例
01-10
nginx-kafka-module是nginx的一个插件,可以将kafka整合到nginx中,便于web项目中前端页面埋点数据的收集,如前端页面设置了埋点,即可将用户的一些访问和请求数据通过http请求直接发送到消息中间件kafka中,后端...
Kafka安全(以SASL+ACL为例)
Yore - Home
03-15 1484
Kafka 引入的新认证机制,主要是为了实现与 OAuth2 框架的集成,Kafka 不提倡单纯使用 OAUTHBEARER,因为它生成的不安全 Json Web Token,必须配以 SSL 加密才能在生产环境中使用。主要是为 Kerberos 使用,如果当前已有 Kerberos 认证,只需要为集群中每个 Broker 和访问用户申请 Principle ,然后在 Kafka 配置文件中开启 Kerberos 的支持即可。ZK服务地址可以使用Kafka自带的,也可以使用已部署在的ZK。
Kafka SASL安全认证机制与ACL用户权限控制
10-08 1859
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能,以提高kafka集群的安全性。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。
Kafka 安全认证及权限控制
小王是个弟弟
07-20 9920
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
zookeeper和kafka安全机制:java.lang.ClassNotFoundException: kafka.security.auth.SimpleAclAuthorizer
Entity_G的博客
07-14 6258
在给项目支撑时反馈到项目一直存在kafka的报错问题,看能不能解决一下,排查项目发现配置中开启了kafka的安全机制(这个我也看不太懂,不了解开发,大致好像是开启了,也找不到关闭的参数),硬着头皮尝试开启kafka的安全机制试试zk配置如下都是单节点的,没做集群zk正常启动,但是启动kafka时一直报错,找不到安全机制相关的类文件最明显的报错思来想去没有道理,最后翻遍了博客,终于在外的一片帖子上找到了答案意思就是说kafka3.0之后版本弃用了验证,改为于是乎修改配置文件。......
Kafka权限认证ACL
不见其长,日有所长
02-27 3480
1. kafka ACL权限 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=centos11:2181 --add --allow-principal User:Bob --allow-principal User:Alice --allow-host 198.51.100.0 --allow-host 198.51.100...
kafka的访问控制
hncscwc的博客
08-10 1800
【概述】通常情况下,Kafka部署后都是自己的业务进行生产消费,但也有一些情况,比如通过kafka和第三方对接,甚至是多个三方对接;或者是多用户使用同一套kafka集群,各自使用不同的topic。在这种场景下,一般不希望不同的用户能访问彼此的数据,因此需要进行权限控制,这就会用到Kafka中的ACLKafka中的ACL定义为:来自指定主机(Host)的指定用户(User...
kafkakafka集群的搭建、用户的设置和权限的控制
非正常人研究室
11-04 4422
准备 我们准备起码两个实例,你可以在一台设备上操作,但是起码要有两个实例。我这边准备了三台设备,分别为192.168.5.1,192.168.5.2,192.168.5.3。然后是kafka的包和zookeeper的包,kafka和zookeeper的版本要适配。我这里准备的是kafka_2.12-2.4.0.tgz和apache-zookeeper-3.5.8-bin.tar.gz。 zookeeper集群的搭建 kafka的运行依赖zookeeper,考虑到高可用的能力,所以需要搭建一个zookeepe
springboot kafka配置启用
04-19
在Spring Boot中使用Kafka需要进行一些配置才能启用。以下是配置启用Kafka的步骤: 1. 添加Kafka依赖:在`pom.xml`文件中添加Kafka的依赖项,例如: ```xml <dependency> <groupId>org.springframework.kafka</groupId> <artifactId>spring-kafka</artifactId> </dependency> ``` 2. 配置Kafka连接信息:在`application.properties`或`application.yml`文件中配置Kafka的连接信息,例如: ```properties spring.kafka.bootstrap-servers=localhost:9092 spring.kafka.consumer.group-id=my-group ``` 其中,`bootstrap-servers`指定了Kafka服务器的地址和端口,`consumer.group-id`指定了消费者组的ID。 3. 创建Kafka生产者和消费者:在Spring Boot应用程序中创建Kafka生产者和消费者的实例。可以使用`@EnableKafka`注解启用Kafka支持,并使用`@KafkaListener`注解定义消费者监听方法。 下面是一个简单的示例代码: ```java import org.springframework.kafka.annotation.EnableKafka; import org.springframework.kafka.annotation.KafkaListener; import org.springframework.kafka.core.KafkaTemplate; import org.springframework.stereotype.Component; @Component @EnableKafka public class KafkaExample { private final KafkaTemplate<String, String> kafkaTemplate; public KafkaExample(KafkaTemplate<String, String> kafkaTemplate) { this.kafkaTemplate = kafkaTemplate; } public void sendMessage(String topic, String message) { kafkaTemplate.send(topic, message); } @KafkaListener(topics = "my-topic") public void receiveMessage(String message) { System.out.println("Received message: " + message); } } ``` 以上代码示例中,`KafkaExample`类中的`sendMessage`方法用于发送消息,`receiveMessage`方法用于接收消息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不识君的荒漠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值