Kafka安全 之 Authentication using SASL/PLAIN

最新推荐文章于 2023-11-20 18:50:13 发布
最新推荐文章于 2023-11-20 18:50:13 发布
阅读量1.1k 收藏
点赞数
分类专栏: Kafka 文章标签: flink kafka

Table of Contents

配置 kafka broker

配置 kafka 客户端

在生产中使用SASL/PLAIN

完整样例

SASL/PLAIN 是一种简单的用户名/密码身份验证机制,通常与 TLS 一起用于加密以实现安全身份验证。Kafka支持SASL/PLAIN的默认实现

用户名被用作配置acl等的认证主体。

配置 kafka broker

  • 将一个适当修改过的 JAAS 文件添加到每个 Kafka 代理的配置目录中,让我们将它命名为 kafka_server_jaas.conf。
KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin-secret"
    user_admin="admin-secret"
    user_alice="alice-secret";
};

这个配置定义了两个用户(admin和alice)。代理使用KafkaServer部分中的属性用户名和密码来启动到其他代理的连接。在本例中,admin是代理间通信的用户。user_userName属性集定义连接到代理的所有用户的密码,代理将验证所有客户端连接,包括使用这些属性的其他代理的连接。

  • 将JAAS配置文件位置作为JVM参数传递给每个Kafka代理:
  -Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf
  • 在服务器中配置SASL端口和SASL机制。这里描述的属性。例如:
   listeners=SASL_SSL://host.name:port
        security.inter.broker.protocol=SASL_SSL
        sasl.mechanism.inter.broker.protocol=PLAIN
        sasl.enabled.mechanisms=PLAIN

配置 kafka 客户端

在客户端配置SASL认证:

  • 为生产者中的每个客户端配置JAAS配置属性。属性或consumer.properties。登录模块描述了像生产者和消费者这样的客户机如何连接到Kafka代理。下面是一个简单机制的客户端配置示例:
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
    username="alice" \
    password="alice-secret";

客户端使用用户名和密码选项来为客户端连接配置用户。在本例中,客户端作为用户alice连接到代理。JVM中的不同客户机可以通过在sasl.jaas.config中指定不同的用户名和密码来连接为不同的用户。

客户端的JAAS配置也可以指定为类似于这里描述的代理的JVM参数。客户端使用名为KafkaClient的登录部分。此选项仅允许一个用户连接来自JVM的所有客户机连接。

  • 在 producer.properties or consumer.properties 中配置一下属性:
security.protocol=SASL_SSL
sasl.mechanism=PLAIN

在生产中使用SASL/PLAIN

  • SASL/PLAIN 应仅与 SSL 作为传输层一起使用,以确保在未加密的情况下不会在网络上传输清晰的密码。
  • Kafka 中 SASL/PLAIN 的默认实现指定 JAAS 配置文件中的用户名和密码,如下所示。为了避免将密码存储在磁盘上,可以实现 javax.security.auth.spi.LoginModule 提供来自外部源的用户名和密码。登录模块实现应该提供用户名作为公共凭证,密码作为主题的私有凭证。可以使用默认实现的 org.apache.kafka.common.security.plain.PlainLoginModule 作为示例。
  • 在生产系统中,外部身份验证服务器可以实现密码验证。通过添加您自己的 javax.security.sasl.SaslServer 实现,Kafka代理可以与这些服务器集成。可以使用 org.apache.kafka.common.security.plain 包中包含的默认实现作为开始的示例。
    • 必须在JVM中安装并注册新的提供程序。提供程序可以通过将提供程序类添加到普通的类路径中来安装,也可以绑定为jar文件并添加到JAVA_HOME/lib/ext中。
    • 提供程序可以通过将提供程序添加到安全属性文件 JAVA_HOME/lib/security/java.security 来静态注册。 
       security.provider.n=providerClassName。其中providerClassName是新提供者的完全限定名,n是优先级顺序,数字越低表示优先级越高。
    • 或者,您可以通过调用安全性在运行时动态注册提供者。在客户端应用程序的开头或在登录模块的静态初始化器中添加addProvider。例如: 
        Security.addProvider(new PlainSaslServerProvider());

完整样例

初始化系统环境变量

private def initSystem: Properties = {
    val sysProp = CommonPro.loadProperties
    if (!StringUtils.isBlank(sysProp.getProperty("java.security.auth.login.config"))) {
      System.setProperty("java.security.auth.login.config", sysProp.getProperty("java.security.auth.login.config"))
    }
    if (!StringUtils.isBlank(sysProp.getProperty("java.security.krb5.conf"))) {
      System.setProperty("java.security.krb5.conf", sysProp.getProperty("java.security.krb5.conf"))
    }
    if (!StringUtils.isBlank(sysProp.getProperty("sun.security.krb5.debug"))) {
      System.setProperty("sun.security.krb5.debug", sysProp.getProperty("sun.security.krb5.debug"))
    }
    if (!StringUtils.isBlank(sysProp.getProperty("javax.security.auth.useSubjectCredsOnly"))) {
      System.setProperty("javax.security.auth.useSubjectCredsOnly", sysProp.getProperty("javax.security.auth.useSubjectCredsOnly"))
    }
    sysProp
  }

 初始化 kafka consumer source

private def initConsumerSource(sysProp: Properties): FlinkKafkaConsumer010[ObjectNode] = {
    val properties = new Properties()
    properties.setProperty("bootstrap.servers", sysProp.getProperty("bootstrap.servers"))
    properties.setProperty("group.id", sysProp.getProperty("group.id"))
    properties.setProperty("enable.auto.commit", "false")
    properties.setProperty("session.timeout.ms", "30000")
    //每次poll最多获取10条数据
    properties.setProperty("max.poll.records", "10")
    properties.setProperty("key.deserializer", "org.apache.kafka.common.serialization.StringDeserializer")
    properties.setProperty("value.deserializer", "org.apache.kafka.common.serialization.StringDeserializer")

    if (!StringUtils.isBlank(sysProp.getProperty("sasl.mechanism"))) {
      properties.setProperty("sasl.mechanism", sysProp.getProperty("sasl.mechanism"))
    }
    if (!StringUtils.isBlank(sysProp.getProperty("security.protocol"))) {
      properties.setProperty("security.protocol", sysProp.getProperty("security.protocol"))
    }
    if (!StringUtils.isBlank(sysProp.getProperty("sasl.jaas.config"))) {
      properties.setProperty("sasl.jaas.config", sysProp.getProperty("sasl.jaas.config"))
    }
    if (!StringUtils.isBlank(sysProp.getProperty("sasl.kerberos.service.name"))) {
      properties.setProperty("sasl.kerberos.service.name", sysProp.getProperty("sasl.kerberos.service.name"))
    }
    val myConsumer = new FlinkKafkaConsumer010("log_dls", new JSONKeyValueDeserializationSchema(true), properties)
    val specificStartOffsets = new java.util.HashMap[KafkaTopicPartition, java.lang.Long]()
    specificStartOffsets.put(new KafkaTopicPartition("log_dls", 0), 29L)
    myConsumer.setStartFromSpecificOffsets(specificStartOffsets)

    //    myConsumer.setStartFromEarliest()
    myConsumer
  }

配置文件

zookeeper.connect=xxx
bootstrap.servers=xxx
group.id=op_log_consumer
sasl.mechanism=PLAIN
security.protocol=SASL_PLAINTEXT
#sasl.kerberos.service.name=xxx
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="xxx" password="xxx";
java.security.auth.login.config=/web/jaas.conf
#java.security.krb5.conf=/kerberos/krb5.conf
#sun.security.krb5.debug=false
#javax.security.auth.useSubjectCredsOnly=false
default.hdfs.path=/user/hive/warehouse/api_log/

 

原文地址:https://kafka.apache.org/0110/documentation.html#security_sasl_plain_brokerconfig

張萠飛
关注
专栏目录
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证
代码讲故事
10-13 1049
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证。
Kafka3.0 SASL安全认证
binter12138的博客
04-20 6799
下面主要介绍Kafka两种认证方式 kafka验证方式: SASL/PLAIN:不能动态添加用户配置文件写死账号密码 SASL/SCRAM: 可以动态的添加用户 SASL/PLAIN方式 cd /usr/local/kafka/kafka_2.12-3.0.1/bin/ ## 复制一份sasl cp kafka-server-start.sh kafka-server-start-sasl.sh 在kafka-server-start-sasl.sh 末尾修改配置 exe
kafka0.11部署SASL/PLAIN认证
月明
05-15 958
kafka部署 本教程将在一台设备上部署3个kafka broker,1个zookeeper组成kafka集群,其中kafka broker分别使用9092,9093,9094端口数据分别存放在/data目录下的kafka-1,kafka-2,kafka-3目录,zookeeper使用2181端口。 该教程中kafka版本使用kafka_2.11-0.11.0.2,安全认证使用SAS...
Authentication using SASL/Kerberos
weixin_30894583的博客
09-11 179
Prerequisites KerberosIf your organization is already using a Kerberos server (for example, by using Active Directory), there is no need to install a new server just for Kafka. Otherwise y...
zookeeper的Will not attempt to authenticate using SASL (无法定位登录配置)
lavafree
11-12 6274
今天不小心重启了一下zookeeper服务,发现跑的好好的系统神经了。 客户端连接zk,不停的报   2012-11-12 16:41:37,641 [myid:] - INFO  [main-SendThread(192.168.1.102:2181):ClientCnxn$SendThread@849] - Socket connection established to 192....
zookeeper报错:Will not attempt to authenticate using SASL (unknown error)
白昼的晚上
04-30 6万+
程序部署后,日志有以下信息。 Will not attempt to authenticate using SASL (unknown error) 经过查资料,这个问题与zookeeper里面的zoo.cfg配置有关。 在程序填写的zookeper的路径,一定与zoo.cfg里面的server填写的名称一致。 (比如,如果配置的时候写的实际ip,而不是host映射名称,那么就可以能报此类错误,...
kafka SASL认证介绍及自定义SASL PLAIN认证功能
zzzzMing -大数据/数据分析/数据挖掘
11-23 2149
文章目录kafka 2.x用户认证方式小结SASL/PLAIN实例(配置及客户端)broker配置客户端配置自定义SASL/PLAIN认证(二次开发)kafka2新的callback接口介绍自定义sasl/plain功能 用户认证功能,是一个成熟组件不可或缺的功能。在0.9版本以前kafka是没有用户认证模块的(或者说只有SSL),好在kafka0.9版本以后逐渐发布了多种用户认证功能,弥补了这一缺陷(这里仅介绍SASL)。 本篇会先介绍当前kafka的四种认证方式,然后过一遍部署SASL/PLAIN认证功
Kafka安全认证-Kerberos&SCRAM
麦田里的守望者-蒋中洲【相信相信的力量】
02-26 845
配置SASL/PLAIN验证,实现了对Kafka的权限控制。但SASL/PLAIN验证有一个问题:只能在JAAS文件KafkaServer中配置用户,一但Kafka启动,无法动态新增用户。SASL/SCRAM验证可以动态新增用户并分配权限安装步骤.
zookeeper报错Will not attempt to authenticate using SASL (unknown error)
weixin_33893473的博客
01-12 811
Will not attempt to authenticate using SASL (unknown error) 转自:http://blog.csdn.net/mo_xingwang/article/details/51910000 搭建Dubbo Server的时候出现“Will not attempt to authenticate using SASL (unknown erro...
Zookeeper报错Will not attempt to authenticate using SASL
chy2z的专栏
04-27 2772
windows7-64位使用javaAPI访问Zookeeper报错Will not attempt to authenticate using SASL。解决方法如下:1: windows/System32/drivers/etc/hosts2: 修改hosts文件增加以下内容(admin-PC是电脑名称) 127.0.0.1 admin-PC         127.0.0.1
Zookeeper 错误 Will not attempt to authenticate using SASL (unknown error)
热门推荐
自由の力
10-09 15万+
今天在做dubbo实验的时候,碰到一个问题,卡了我7-8小时,差了很多资料无果,错误如下 - Initiating client connection, connectString=1.1.1.2:2181 sessionTimeout=60000 watcher=org.I0Itec.zkclient.ZkClient@7848d29a 2016-10-09 02:02:48,494
kafka权限认证 topic权限认证 权限动态认证-亲测成功
最新发布
yinjl123456的博客
11-20 1782
1、Kafka的权限分类身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。上一篇博文介绍了连接的身份认证。权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限。
Zookeeper 错误 “Will not attempt to authenticate using SASL (unknown error)" 解决
沛哥儿的专栏
05-16 2万+
因为zookeeper直接部署在外网阿里云上。在连接外网的时候,总是下面的错误: Will not attempt to authenticate using SASL (unknown error) 刚开始以为是程序的问题。后来网上提示是IP地址映射关系的。发现改了没有效果。 后来才想起,服务器上装了宝塔服务。发现宝塔服务的安全里面对准入和准出作了限制,在里面添加了zkClient的端口...
zk启动提示:Will not attempt to authenticate using SASL
weixin_38693317的博客
08-05 306
zk启动提示:Will not attempt to authenticate using SASL 1.防火墙 2./etc/hosts 3.vi /etc/resolv.conf
Kafka 认证一:PlainLoginModule 认证及 Java 连接测试
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
10-21 4728
项目需求是:通过 Web 页面配置 Kafka 信息并存储,且支持安全认证模式。本文介绍 Kafka 帐号密码认证的完整实践流程,自己实践一遍,才能穿起各个概念。KafkaPlain 简单文本认证方式比较简单,只需要 Kafka 服务端维护用户列表,客户端同样的安全认证配置即可。
Will not attempt to authenticate using SASL (java.lang.SecurityException: 无法定位登录配置)
Yan456jie的专栏
04-28 5381
hbase错误:Will not attempt to authenticate using SASL (java.lang.SecurityException: 无法定位登录配置) 在ZooKeeperSaslClient.java代码里面抛出 客户端没用SASL(简单验证安全层 (Simple Authentication Security Layer, SASL),故不使用SASL进
Zookeeper will not attempt to authenticate using SASL (unknown error)
qq_33571718的博客
09-17 718
关于Zookeeper连接时报出一下错误: Opening socket conection to server 127.0.0.1/127.0.0.1:2181. Will not atte pt to authenticate using SASL (unknown error) KeeperErrorCode = ConnectionLoss for /test org.apache.zookeeper.KeeperException$OperationTimeoutException:Keep
Java API连接zookeeper3.5.8提示Will not attempt to authenticate using SASL (unknown error)问题的解决
weixin_41851460的博客
10-07 381
Java API连接zookeeper提示Will not attempt to authenticate using SASL (unknown error)问题的解决 尝试再次关闭防火墙:systemctl stop firewalld
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值