Kafka系列之:详细总结认证方式PLAINTEXT、GSSAPI、Scram的实现方式,通过Ranger、Kerberos实现kafka账号的Topic权限管理

最新推荐文章于 2024-10-15 19:20:14 发布
最新推荐文章于 2024-10-15 19:20:14 发布
阅读量697 收藏 1
点赞数 1
分类专栏: Kafka 文章标签: Kafka系列 PLAINTEXT GSSAPI Scram Ranger、Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengzaifeidelushang/article/details/129078582
版权
本文详细介绍了Kafka的不同认证方式,包括PLAINTEXT、GSSAPI、Scram,并结合Kerberos和Ranger进行Topic权限管理。分析了各种认证方式的优缺点,如PLAINTEXT的简单配置但不支持动态用户,GSSAPI的高集成度但依赖Kerberos,Scram的动态用户管理但依赖Zookeeper和LDAP。最后,通过SCRAM和Ranger机制展示了如何动态新增Kafka账号并赋予特定Topic的权限。
摘要由CSDN通过智能技术生成

Kafka系列之:详细总结认证方式PLAINTEXT、GSSAPI、Scram的实现方式,通过Ranger、Kerberos实现kafka账号的Topic权限管理

一、需求背景

  • 测试Kafka不同认证方式对Kafka用户账号的实现方式
  • 结合Ranger、Kerberos实现kafka账号的Topic权限管理

二、基于PLAINTEXT和Kerberos的认证

  • Kafka用户通过Plain的方式设置用户名及密码
  • 优点:配置简单
  • 缺点:无法动态添加用户

配置如下所示:

1. kafka_server_jaas.conf
ranger.KafkaServer {
   
    com.sun.security.auth.module.Krb5LoginModule required
    useKeyTab=true
    keyTab="xxx
了解本专栏 订阅专栏 解锁全文 超级会员免费看
快乐骑行^_^
关注
专栏目录
订阅专栏
KafkaKafka认证与授权
九师兄
08-13 6771
Kafka认证机制 概述 GSSAPI:使用的Kerberos认证,可以集成目录服务,比如AD。Kafka最小版本 0.9 PLAIN:使用简单用户名和密码形式,Kafka最小版本 0.10 SCRAM:主要解决PLAIN动态更新问题以及安全机制,Kafka最小版本 0.10.2 OAUTHBEARER:基于OAuth 2认证框架,Kafka最小版本 2.0 配置SASL\PLAIN 创建kafka_server_jaas.conf文件 这个文件是配置Broker服务端的JAAS,进入Kafka程序目录的
KafkaKafka 配置 SCRAM认证
九师兄
08-08 2499
PLAIN认证有个问题,就是不能动态新增用户,每次添加用户后,需要重启正在运行的Kafka集群才能生效。为此,在生产环境,这种认证方式不符合实际业务场景。而SCRAM不一样,使用SCRAM认证,可以动态新增用户,添加用户后,可以不用重启正在运行的Kafka集群即可进行鉴权。 本篇文档中使用的是自己部署的zookeeper, zookeeper无需做任何特殊配置 1.准备 使用SASL / SCRAM进行身份验证,请先在不配置任何身份验证的情况下启动Kafka 2.创建SCRAM Credentials.
kafka权限认证 topic权限认证 权限动态认证-亲测成功
最新发布
yinjl123的博客
10-15 945
1、Kafka的权限分类身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。上一篇博文介绍了连接的身份认证。权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限。
kafka 认证与授权机制
热门推荐
sun
03-14 1万+
1.概述在版本0.9.0.0中,kafka社区添加了一些单独或一起使用的功能,可以提高kafka集群的安全性。Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制。目前支持以下安全措施:clients 与 brokers 认证brokers 与 zookeeper认证数据传输加密  between  brokers and clients, between br...
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2095
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
Kafka配置动态SASL_SCRAM认证
冰之杍的博客
10-12 4101
(Kafka配置动态SASL_SCRAM认证)Kafka中需要加上认证,并动态新增用户,SASL/SCRAM验证可以支持
Debezium系列之:记录一次Debezium集群服务器端口打满的原因和对应的解决方法
zhengzaifeidelushang的博客
06-27 178
Debezium系列之:记录一次Debezium集群服务器端口打满的原因和对应的解决方法
Kafka+Scram认证+eagle管理
pandani的专栏
09-24 781
记录一次部署测试 部署程序版本选择 kafka 2.7.1 eagle 2.0.6 选择2.7.1是因为kafka在2.7之后的java的SDK中提供了操作scram账号的方法。我们可以将此集成到业务系统中对topic的读写对账户的授权管理。 Kafka搭建 我们将kafka部署到3个服务节点,例如192.168.40.1/192.168.40.2/192.168.40.3 第1步 下载kafka安装包,地址https://www.apache.org/dyn/closer.cgi?...
Kafka 认证二:ScramLoginModule 认证及 Java 连接测试
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
10-22 4666
承接上篇,继续 Kafka 的简单帐号密码认证的 SASL/SCRAM 认证方式这里会多增加一步密钥注册到 Zookeeper 的操作。值得注意的是,在做 Kafka 连通性测试时,因为 Kafka 存在失败重试机制,建议用同步请求,配置。Plain 模式的 SASL 安全认证实践起来比较容易,主要就是注意客户端和服务端协议类型的一致。即指定 SASL 的安全认证方式SCRAM,这是一种加密算法。它默认是一分钟,如果需要通过页面配置 Kafka 信息,这个默认时间是不友好的。
kerberos + Ranger 实现Kafka认证以及权限管理
TMH_ITBOY的博客
04-24 2962
1. 安装Ranger 安装JDK(略) 编译Ranger(略) 安装MySQL(略) 创建名为ranger的数据库(CREATE USER 'ranger'@'%' IDENTIFIED BY 'ranger';)。 创建名为ranger的用户,并授权ranger数据库所有权限给ranger(GRANT ALL PRIVILEGES ON ranger.* TO 'ranger'@'%';)...
ranger-2.1.0-kafka-plugin.tar.gz
08-09
ranger-2.1.0-kafka-plugin.tar.gz
kafka 开启认证授权
卷心菜投手
10-10 5592
kafka Kraft 模式 用户名密码 认证
Kafka安全认证机制详解之SASL_SCRAM
空城的博客
01-05 3082
SASL/SCRAM 通过将认证用户信息保存在 ZooKeeper 的方式,避免了动态修改需要重启 Broker 的弊端。在实际使用过程中,可以使用 Kafka 提供的命令动态地创建和删除用户,无需重启整个集群。因此,如果打算使用 SASL/PLAIN,不妨改用 SASL/SCRAM 试试。不过要注意的是,后者是 0.10.2 版本引入的。
使用ranger对kafka进行鉴权
微信公众号:大数据从业者
03-05 523
使用ranger对kafka进行鉴权测试环境:ranger-kafka-plugin为0.6.3版本,kafka版本为kafka_2.10-0.10.1.1,且kafka broker为一个节点。一、Ranger对kafka进行权限控制,前提需要kafka开启kerberos认证(注意:若kafka不开启kerberos的话Ranger无法获取kafka相关操作的用户,进而无法完成鉴权操作)二、...
Ranger-kafka-plugin
Nobigo
11-19 3678
ranger如何对在非安全模式下的kafka进行授权操作这部分主要是关于ranger如何对非安全模式下的kafka进行授权操作。1. 我可以通过ranger对非安全模式下的kafka进行访问控制?可以通过指定Ip地址对访问进行控制。2. 我可以通过ranger的用户/用户组来对非安全模式下的kafka进行访问控制?不能通过基于用户/用户组的条件来对非安全模式下的kafka进行控制,因为在非安全模式下
Kafuka面试(整合Kafka两种模式区别)
dingqiu6346的博客
09-14 1497
整合Kafka两种模式说明 ★面试题:Receiver & Direct 开发中我们经常会利用SparkStreaming实时地读取kafka中的数据然后进行处理,在spark1.3版本后,kafkaUtils里面提供了两种创建DStream的方法: 1.Receiver接收方式KafkaUtils.createDstream(开发中不用,了解即可,但是面试可能会...
Ranger-Kafka插件安装
木木与呆呆的专栏
04-27 1450
Ranger-Kafka插件安装, 使用Ranger0.7.0版本,集成Kafka插件到Kafka集群, Kafka Plugin需要安装到所有的Kafka的集群节点上面。 1.登陆Kafka的安装用户 2.下载插件包 scp pub@10.43.156.193:/home/pub/ranger/ranger-0.7.0/target/ranger-0.7...
Kafka安全认证:SASL/GSSAPI(kerberos)
welcome to daijiguo's blog
05-01 4480
文章目录kafka和zookeeper开启kerberos认证1. 环境2. 创建主体并生成keytab3. 配置jaas.conf4. 配置kafka server.properties5. 配置kafka zookeeper.properties6. kafka broker+zookeeper启动脚本7. kafka client的使用7.1 producer7.2 consumer kaf...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

快乐骑行^_^

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值