Kafka安全认证 SASL/PLAINTEXT,账号密码认证

最新推荐文章于 2024-03-21 17:33:01 发布
最新推荐文章于 2024-03-21 17:33:01 发布
阅读量1.9w 收藏 42
点赞数 6
分类专栏: Kafka 文章标签: Kafka安全认证 SASL/PLAINTEXT Kafka 账号密码认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangshenghang/article/details/90264636
版权

环境

操作系统:CentOS 7.3

Kafka Version:1.1.1

Zookeeper Version:3.4.14

一、Zookeeper集群配置SASL

zookeeper所有节点都是对等的,只是各个节点角色可能不相同。以下步骤所有的节点配置相同。

1、zoo.cfg文件配置

为zookeeper添加SASL支持,在配置文件zoo.cfg添加

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

2.新建zoo_jaas.conf文件,为Zookeeper添加账号认证信息
这个文件你放在哪里随意,只要后面zkEnv配置正确的路径就好了。我是放在/home路径下。zk_server_jaas.conf文件的内容如下

Server {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka"
    password="kafkapwd"
    user_kafka="kafkapwd";
};

username和paasword是zk集群之间的认证密码。
user_kafka="kafkaUser65#.com"定义了一个用户"kafka",密码是"kafkaUser65#.com"

3.将Kafka相关jar包导入到Zookeeper

Zookeeper的认证机制是使用插件,“org.apache.kafka.common.security.plain.PlainLoginModule”,所以需要导入Kafka相关jar包,kafka-clients相关jar包,在kafka服务下的lib目录中可以找到,根据kafka不同版本,相关jar包版本会有所变化。

所需要jar包如下,在zookeeper下创建目录zk_sasl_lib将jar包放入(目录名与位置可以随便,后续引用指定即可):

kafka-clients-1.1.1.jar
lz4-java-1.4.1.jar
slf4j-api-1.7.25.jar
slf4j-log4j12-1.7.25.jar
snappy-java-1.1.7.1.jar

4.修改zkEnv.sh,主要目的就是将这几个jar包使zookeeper读取到

在$KAFKA_HOME/bin目录下找到zkEnv.sh文件,添加如下代码

注意引用的目录下jar包,与之前创建的zoo_jaas.conf文件

for i in /opt/zookeeper-3.4.14/zk_sasl_lib/*.jar;
do
    CLASSPATH="$i:$CLASSPATH"
done
SERVER_JVMFLAGS=" -Djava.security.auth.login.config=/opt/zookeeper-3.4.14/conf/zoo_jaas.conf"

5.重启Zookeeper服务

zkServer.sh restart

 查看状态

zkServer.sh status

二、Kafka集群配置SASL

  • 注:所有节点操作相同

1.创建kafka_server_jaas.conf文件,该文件名可以自己修改,为kafka添加认证信息

内容如下(这里的Client与Zookeeper相对应,KafkaServer与后期调用时读取的KafkaClient相对应,是消费生产的账号密码,不要弄混了):

KafkaServer {
 org.apache.kafka.common.security.plain.PlainLoginModule required
 username="zsh"
 password="zshpwd"
 user_zsh="zshpwd" ;
};
Client{
 org.apache.kafka.common.security.plain.PlainLoginModule required
 username="kafka"
 password="kafkapwd";
};

    先解释KafkaServer,使用user_<name>来定义多个用户,供客户端程序(生产者、消费者程序)认证使用,可以定义多个,后续配置可能还可以根据不同的用户定义ACL,这部分内容超出本文范围。这是目前我对配置的理解。上例我定义了三个用户,一个是admin,一个是producer,一个是consumer,等号后面是对应用户的密码(如user_producer定义了用户名为producer,密码为prod-sec的用户)。再选择一个用户,用于Kafka内部的各个broker之间通信,这里我选择admin用户,对应的密码是admin-sec。
    Client配置节则容易理解得多,主要是broker链接到zookeeper,从上文的Zookeeper JAAS文件中选择一个用户,填写用户名和密码即可。

2.在Kafka Server.properties添加、修改如下信息

listeners=SASL_PLAINTEXT://192.168.2.xxx:19092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
allow.everyone.if.no.acl.found=true
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

 

3.Kafka启动脚本中加入配置,读取第一步创建的文件,kafka_server_jaas.conf

修改kafka的kafka-server-start.sh文件,

在如下代码

export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G"

添加

 export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=/opt/kafka_2.11-1.1.1/config/kafka_server_jaas.conf"

4.启动Kafka服务,查看日志是否正常

kafka-server-start.sh -daemon /opt/kafka_2.11-1.1.1/config/server.properties

 


三、Java客户端调用认证

这里只对配置进行举例,其他操作不变

  • 客户端文件-kafka_client_jaas.conf
KafkaClient{
 org.apache.kafka.common.security.plain.PlainLoginModule required  
 username="zsh"  
 password="zshpwd";  
};
  • 生产者:
public KafkaProducer() {
		System.setProperty("java.security.auth.login.config", "C://Kafkaanquan//kafka_client_jaas.conf");
		Properties props = new Properties();
		props.put("bootstrap.servers", KafkaParameter.KAFKA_HOST_IP.getValue());
		props.put("acks", "all");
		props.put("retries", 0);
		props.put("batch.size", 16384);
		props.put("linger.ms", 1);
		props.put("buffer.memory", 33554432);
		props.put("max.request.size", 8000000);
		props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer");
		props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer");
		props.put("security.protocol", "SASL_PLAINTEXT");
		props.put("sasl.mechanism", "PLAIN");
		this.producer = new org.apache.kafka.clients.producer.KafkaProducer<>(props);
	}
  •  消费者
public KafkaConsumer(String topic,int count) {
	

	Properties props = new Properties();
	props.put("bootstrap.servers", KafkaParameter.KAFKA_HOST_IP.getValue());
	//group 代表一个消费组
	props.put("group.id", "20190305"	);
	props.put("zookeeper.session.timeout.ms", "600000");
	props.put("zookeeper.sync.time.ms", "200000");
	props.put("auto.commit.interval.ms", "100000");
	props.put(org.apache.kafka.clients.consumer.ConsumerConfig.AUTO_OFFSET_RESET_CONFIG, "earliest");
	props.put("key.deserializer", "org.apache.kafka.common.serialization.StringDeserializer");
	props.put("value.deserializer", "org.apache.kafka.common.serialization.StringDeserializer");
	props.put(org.apache.kafka.clients.consumer.ConsumerConfig.MAX_POLL_RECORDS_CONFIG, count+"");//设置最大消费数
	//        MAX_POLL_RECORDS_CONFIG
	props.put("security.protocol", "SASL_PLAINTEXT");
	props.put("sasl.mechanism", "PLAIN");

	props.put("sasl.jaas.config",
			"org.apache.kafka.common.security.plain.PlainLoginModule required username=\"zsh\" password=\"zshpwd\";");

//System.setProperty("java.security.auth.login.config", "C:/Kafkaanquan/kafka_client_jaas.conf"); 读取配置文件方式,与读取配置文件二选一

	consumer = new org.apache.kafka.clients.consumer.KafkaConsumer(props);
	consumer.subscribe(Arrays.asList(topic)); //"collectionInfo"
}

主要配置加入配置是以下三项

props.put("security.protocol", "SASL_PLAINTEXT");
props.put("sasl.mechanism", "PLAIN");
System.setProperty("java.security.auth.login.config", "C:/Kafkaanquan/kafka_server_jaas.conf");

 

  • 异常说明

1.未读取Kafka认证客户端文件

Exception in thread "main" org.apache.kafka.common.KafkaException: Failed to construct kafka consumer
	at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:793)
	at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:644)
	at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:624)
	at com.xxx.kafka.KafkaConsumer.<init>(KafkaConsumer.java:32)
	at com.xxx.kafka.KafkaConsumer.getInstance(KafkaConsumer.java:38)
	at com.xxx.kafka.KafkaConsumer.main(KafkaConsumer.java:44)
Caused by: java.lang.IllegalArgumentException: Could not find a 'KafkaClient' entry in the JAAS configuration. System property 'java.security.auth.login.config' is not set
	at org.apache.kafka.common.security.JaasContext.defaultContext(JaasContext.java:133)
	at org.apache.kafka.common.security.JaasContext.load(JaasContext.java:98)
	at org.apache.kafka.common.security.JaasContext.loadClientContext(JaasContext.java:84)
	at org.apache.kafka.common.network.ChannelBuilders.create(ChannelBuilders.java:119)
	at org.apache.kafka.common.network.ChannelBuilders.clientChannelBuilder(ChannelBuilders.java:65)
	at org.apache.kafka.clients.ClientUtils.createChannelBuilder(ClientUtils.java:88)
	at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:710)
	... 5 more

2. 认证文件中的账号密码不正确

Exception in thread "main" org.apache.kafka.common.KafkaException: Failed to construct kafka consumer
	at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:793)
	at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:644)
	at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:624)
	at com.xxx.kafka.KafkaConsumer.<init>(KafkaConsumer.java:32)
	at com.xxx.kafka.KafkaConsumer.getInstance(KafkaConsumer.java:38)
	at com.xxx.kafka.KafkaConsumer.main(KafkaConsumer.java:44)
Caused by: java.lang.IllegalArgumentException: Could not find a 'KafkaClient' entry in the JAAS configuration. System property 'java.security.auth.login.config' is not set
	at org.apache.kafka.common.security.JaasContext.defaultContext(JaasContext.java:133)
	at org.apache.kafka.common.security.JaasContext.load(JaasContext.java:98)
	at org.apache.kafka.common.security.JaasContext.loadClientContext(JaasContext.java:84)
	at org.apache.kafka.common.network.ChannelBuilders.create(ChannelBuilders.java:119)
	at org.apache.kafka.common.network.ChannelBuilders.clientChannelBuilder(ChannelBuilders.java:65)
	at org.apache.kafka.clients.ClientUtils.createChannelBuilder(ClientUtils.java:88)
	at org.apache.kafka.clients.consumer.KafkaConsumer.<init>(KafkaConsumer.java:710)
	... 5 more

ACL用户权限控制具体配置请查看:https://datamining.blog.csdn.net/article/details/90291813

jast_zsh
关注
  • 6
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
Kafka SASL_PLAINTEXT权限管理,并整合SpringBoot
紫蝶侠的博客
06-08 3710
1. Kafka broker 配置: 1)kafka增加认证信息: 在kafka的配置文件中创建JAAS文件: 新建: KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-sec" user_admin="admin-sec" user_producer="prod-sec" user_consumer="cons-sec"; };
Kafka 使用SASL接入点PLAIN机制收发消息(集成Spring Boot)
知北行的博客
02-05 1122
默认接入点接入kafka可以参考: Spring工程项目使用拉取型消费者 KafkaConsumer的常用配置及注意事项 这里没有直接使用 spring封装的kafkaTemplate, 使用的是 原生的 Java API ,支持使用拉取型消费者 并使用 poll() 方法拉取消费消息. 1. 消费者具体常用配置项 1. 添加pom.xml 文件: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apa
Kafka配置SASL_PLAINTEXT权限。常用操作命令,创建用户,topic授权
u010479989的博客
03-15 942
Kafka配置SASL_PLAINTEXT权限。常用操作命令,创建用户,topic授权
Springboot 集成kafka 以及连接 带有SASL/PLAIN 的kafka
最新发布
寂夜了无痕的博客
03-21 1059
Springboot 集成kafka 以及连接 带有SASL/PLAIN 的kafka
kafka sasl java_kafka实现SASL_PLAINTEXT权限认证·集成springboot篇
weixin_39951181的博客
02-27 798
生产者追加配置1、配置文件application.propertieskafka.producer.key-deserializer=org.apache.kafka.common.serialization.StringDeserializerkafka.producer.value-deserializer=org.apache.kafka.common.serialization.Strin...
Kafka动态认证SASL/SCRAM配置+整合springboot配置
weixin_52925162的博客
11-11 8087
Kafka动态认证SASL/SCRAM配置+整合springboot配置
Kafka 配置用户名密码例子
09-10
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 ,我拿第三种进行了 配置 。你可以直接下载 运行并测试
使用sasl的kafka集群的搭建使用
03-15
搭建基于sasl的安全认证kafka集群,并配置acl,使用户能分权分域接受发送消息
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
一键搭建kafka集群支持SASL安全认证以及配置ACL权限,支持多IP和公网IP配置,支持界面化监控和操作以及最细粒度的授权
10-12
一键搭建kafka集群支持开启SASL安全认证以及配置ACL权限控制,支持多IP和公网IP配置,支持集群、topic、消费组、消息、限流、acl、副本表盘监控显示创建topic和用户以及最细粒度的授权。 非常简单的使用,只需要...
SpringBoot项目集成kafka及常规配置
codeLife1993的博客
06-17 9876
使用 spring-kafka 的api,在springboot项目中集成kafka能力,封装配置。
springboot + kafka SASL
qq_42174979的博客
05-25 1450
版本: spring-boot:1.5.13.RELEASE kafka-client:2.4.1 yml配置: kafka: # kafka集群地址 bootstrap-servers: ip:1,ip2:2 # KafkaProperties中的porprites属性,网上看的案例properties都配置再consumer和producer下, # 这里不行,可能是版本问题,这里的properties参数和consumer平级 ...
kafka_2.11-1.1.0 配置 SASL_PLAINTEXT 认证方式
qq_44912603的博客
12-18 1697
前些日子要封装一个kafka的客户端驱动,配置了下kafka环境,发现配置复杂度完爆rabbitmq很多倍啊,而且发布订阅模式使用起来也很麻烦,可能就胜在分布式了吧。 kafka需要java环境,自行安装java sdk 1.8+. http://kafka.apache.org/downloads 官方加载安装包,当前为kafka_2.11-1.1.0.tgz (新版kafka包内集成了zookeeper,直接启动即可) 解压缩后kafka目录下文件: 配置: config路径下配置文件: consume
Springboot 接入 带有SASL/PLAIN 的kafka
u012040869的博客
09-10 7262
yml 配置文件添加 kafka: template: producer: #kafka ip 端口 bootstrap-servers: xx.xx.65.8:8123 key-deserializer: org.apache.kafka.common.serialization.StringDeserializer va...
Kafka使用SASL_PLAINTEXT用户认证及权限
qq_27480007的博客
07-04 682
listeners=SASL_PLAINTEXT://hostname:9092 security.inter.broker.protocol=SASL_PLAINTEXT sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAINkafka_server_jaas.conf kafka_cilent_jaas.conf kafka_zoo_jaas.conf 3. 修改kafka各项sh脚本 zookeeper-serv
kafka集群搭建(二) - spring boot集成SASL权限认证方式kafka集群
weixin_42463980的博客
03-16 3024
kafka集群搭建(一) - SASL_PLAINTEXT方式实现动态权限管理 说明 该集成是针对上篇搭建的动态权限管理方式kafka集群进行接入,首先需要按照上篇说明创建一个名为hello的topic,添加用户名为reader,密码为reader-pwd的用户,并将其添加到test-group用户组,并给其分配hello主题的读和写权限,否则测试的时候会有权限问题。 pom文件添加依赖 创建一个...
SpringCloud Stream + Kafka安全认证机制(SASL/PLAINTEXT)
youyou的专栏
04-23 3445
转载:https://www.cnblogs.com/ilovena/p/10123516.html 我修正了一些作者笔误的地方,直接复制即可配置成功。 kafka版本:kafka_2.12-0.11.0.3 zookeeper版本:zookeeper-3.4.6 Zookeeper配置和启动 1. 为zookeeper添加SASL支持,在配置文件zoo.cfg添加 authProv...
springboot配置Kafka sasl认证参数
热门推荐
weixin_39587278的博客
01-13 1万+
Springboot中使用kafka收发队列消息 以前在springboot中使用的kafka配置,现在做个笔记。主要是使用spring-kafka包来配置生产者和消费者。 1.pom.xml <dependency> <groupId>org.springframework.kafka</groupId> &...
java实现kafka SASL/PLAIN
06-06
这里我们使用了Kafka的Java客户端API来创建一个Kafka生产者,并设置了SASL/PLAIN相关参数,如SASL_PLAINTEXT协议、PLAIN机制和用户名/密码等。 注意,您需要将上面的代码中的参数替换为您自己的Kafka服务器信息和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值