zookeeper和kafka安全机制:java.lang.ClassNotFoundException: kafka.security.auth.SimpleAclAuthorizer

原创 已于 2022-07-14 20:28:07 修改 · 7.1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kafka #java #java-zookeeper

于 2022-07-14 20:26:43 首次发布
本文记录了在配置Kafka安全机制时遇到的问题及解决过程。首先,由于Kafka版本更新,SimpleAclAuthorizer已被弃用,替换为AclAuthorizer。修正配置后,又出现认证失败的问题,原因是KafkaServer配置文件中的username、password和user_admin的密码不一致。调整为相同后,问题得到解决。

1、找不到验证类文件

在给项目支撑时反馈到项目一直存在kafka的报错问题,看能不能解决一下,排查项目发现配置中开启了kafka的安全机制(这个我也看不太懂,不了解开发,大致好像是开启了,也找不到关闭的参数),硬着头皮尝试开启kafka的安全机制试试

zk配置如下:
都是单节点的,没做集群

cat conf/zoo.cfg 
tickTime=2000
initLimit=10
syncLimit=5
dataDir=/app/zookeeper/dataDir/
clientPort=2181
#server.1=0.0.0.0:2888:3888
##############
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000



cat conf/zk_server_jaas.conf 
Server {
  org.apache.kafka.common.security.plain.PlainLoginModule required 
    username="admin" 
    password="admin-2022" 
    user_kafka="kafka-2022" 
    user_producer="producer-2022";
};

kafka配置:

cat config/server.properties 
broker.id=1
listeners=PLAINTEXT://192.168.6.61:9092
log.dirs=/app/kafka/logs
num.partitions=3
zookeeper.connect=192.168.6.61:2181
##########
listeners=SASL_PLAINTEXT://0.0.0.0:9092
advertised.listeners=SASL_PLAINTEXT://192.168.6.61:9092
security.inter.broker.protocol=SASL_PLAINTEXT  
sasl.enabled.mechanisms=PLAIN  
sasl.mechanism.inter.broker.protocol=PLAIN  
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=true


cat config/kafka_server_jaas.conf 
KafkaServer {
  org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin@1234"
    user_admin="admin-1234"
    user_producer="kafka@123"
    user_consumer="kafka@123";
};

KafkaClient {
  org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka"
    password="kafka-2022";
};

zk正常启动,但是启动kafka时一直报错,找不到安全机制相关的类文件
在这里插入图片描述

[2022-07-14 17:13:07,934] INFO Registered kafka:type=kafka.Log4jController MBean (kafka.utils.Log4jControllerRegistration$)
[2022-07-14 17:13:08,288] INFO Setting -D jdk.tls.rejectClientInitiatedRenegotiation=true to disable client-initiated TLS renegotiation (org.apache.zookeeper.common.X509Util)
[2022-07-14 17:13:08,303] ERROR Exiting Kafka due to fatal exception (kafka.Kafka$)
java.lang.ClassNotFoundException: kafka.security.auth.SimpleAclAuthorizer
 at java.net.URLClassLoader.findClass(URLClassLoader.java:381)
 at java.lang.ClassLoader.loadClass(ClassLoader.java:424)
 at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:335)
 at java.lang.ClassLoader.loadClass(ClassLoader.java:357)
 at java.lang.Class.forName0(Native Method)
 at java.lang.Class.forName(Class.java:348)
 at org.apache.kafka.common.utils.Utils.loadClass(Utils.java:419)
 at org.apache.kafka.common.utils.Utils.newInstance(Utils.java:408)
 at kafka.security.authorizer.AuthorizerUtils$.createAuthorizer(AuthorizerUtils.scala:31)
 at kafka.server.KafkaConfig.<init>(KafkaConfig.scala:1658)
 at kafka.server.KafkaConfig.<init>(KafkaConfig.scala:1471)
 at kafka.Kafka$.buildServer(Kafka.scala:67)
 at kafka.Kafka$.main(Kafka.scala:87)
 at kafka.Kafka.main(Kafka.scala)

最明显的报错:java.lang.ClassNotFoundException: kafka.security.auth.SimpleAclAuthorizer
思来想去没有道理,最后翻遍了博客,终于在外的一片帖子上找到了答案
在这里插入图片描述
意思就是说kafka3.0之后版本弃用了SimpleAclAuthorizer验证,改为kafka.security.authorizer.AclAuthorizer

于是乎修改配置文件

cat config/server.properties 
broker.id=1
listeners=PLAINTEXT://192.168.6.61:9092
log.dirs=/app/kafka/logs
num.partitions=3
zookeeper.connect=192.168.6.61:2181
##########
listeners=SASL_PLAINTEXT://0.0.0.0:9092
advertised.listeners=SASL_PLAINTEXT://192.168.6.61:9092
security.inter.broker.protocol=SASL_PLAINTEXT  
sasl.enabled.mechanisms=PLAIN  
sasl.mechanism.inter.broker.protocol=PLAIN  
#authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
authorizer.class.name=kafka.security.authorizer.AclAuthorizer # 修改验证机制
allow.everyone.if.no.acl.found=true

该问题解决,又一个新问题产生

2、认证失败

2022-07-14 19:46:19,945] INFO [SocketServer listenerType=ZK_BROKER, nodeId=1] Failed authentication with /192.168.6.61 (Authentication failed: Invalid username or password) (org.apache.kafka.common.network.Selector)
[2022-07-14 19:46:20,247] INFO [Controller id=1, targetBrokerId=1] Failed authentication with node1/192.168.6.61 (Authentication failed: Invalid username or password) (org.apache.kafka.common.network.Selector)
[2022-07-14 19:46:20,247] ERROR [Controller id=1, targetBrokerId=1] Connection to node 1 (node1/192.168.6.61:9092) failed authentication due to: Authentication failed: Invalid username or password (org.apache.kafka.clients.NetworkClient)
[2022-07-14 19:46:20,355] INFO [SocketServer listenerType=ZK_BROKER, nodeId=1] Failed authentication with /192.168.6.61 (Authentication failed: Invalid username or password) (org.apache.kafka.common.network.Selector)

根据报错大致推断是账号或密码错误
这里是由于我的kafka配置问题

cat config/kafka_server_jaas.conf 
KafkaServer {
  org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin@1234"
    user_admin="admin-1234"
    user_producer="kafka@123"
    user_consumer="kafka@123";
};

KafkaClient {
  org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka"
    password="kafka-2022";
};

上面配置文件中两处密码不同导致的

    username="admin"
    password="admin@1234"
    user_admin="admin-1234"

kafka安全机制中要求KafkaServer 中配置的usernamepassworduser_admin,这里要保持一致
passworduser_admin的密码必须相同

cat config/kafka_server_jaas.conf 
KafkaServer {
  org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin@1234"
    user_admin="admin@1234" # 这里必须和上面一致
    user_producer="kafka@123"
    user_consumer="kafka@123";
};

KafkaClient {
  org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka"
    password="kafka-2022";
};

终于大功告成!

【Flink】 java.lang.NoClassDefFoundError: org/apache/kafka/common/serialization/ByteArrayDeserializer
一杯咖啡半杯糖的博客
12-13 3015
自研flinsql提交平台,在服务器上新安装了一个flink客户端,准备提交flinksql到yarn,执行测试的时候报错 /data/flink/flink-1.13.3/bin/flink run -p 1 -ynm flink@547116966402719744 -yd -m yarn-cluster -yqu root.default -c com.huize.beidou.realtime.streaming.core.JobApplication /home/it/beidou_
Flink 读写Kafka总结
主要分享大数据相关的知识,如Spark、Hudi
07-05 2295
总结Flink读写Kafka
logstash配置kafka输入 无法获取kafka数据 报错
cagezxy的博客
11-04 6777
logstash 配置kafka 接入kafka 认证
Kafka3.3单机模式-Windows-SASL/PLAIN身份验证-使用自带zookeeper
weixin_68970731的博客
11-04 2412
kafka3.x版本单机模式下的sasl/plain权限设置,包含zk的权限设置、topic的权限设置、group的权限设置等
Kafka集群】Kafka针对用户做ACL权限控制
后端研发工程师Marion的博客
05-18 5712
Kafka 3.3.1 中,可以使用 ACL(Access Control List)控制用户对 topic 的访问权限。在命令行中执行以下命令创建一个名为my-topic其中是一种内置的 ACL 校验器,User:admin是一组超级管理员。如果没有在配置文件中指定 super.users,则只有在 Zookeeper 上配置了访问控制时才会应用 ACL 规则。b. 为特定用户或组添加 ACL 规则现在,开发人员组可以对该 topic 进行读写操作。
kafka启动报错:java.lang.ClassNotFoundException:kafka.security.auth.SimpleAclAuthorizer
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-30 3086
2)修改kafka.security.auth.SimpleAclAuthorizerkafka.security.authorizer.AclAuthorizer后,重启启动kafka后,恢复正常。某次现场启动kafka服务时报错如下:java.lang.ClassNotFoundException:kafka.security.auth.SimpleAclAuthorizer
kafka安全认证与授权(SASL-PLAIN)
wangluoanquan111的博客
02-22 3371
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。在每个Kafka broker的配置目录中添加一个经过适当修改的JAAS文件,类似于下面的文件,在本例中,我们将其称为kafka_server_jaas.conf。R匹配,则R没有关联的acl,因此除了超级用户之外,任何人都不允许访问R。
Kafka3.0 SASL安全认证
binter12138的博客
04-20 7113
下面主要介绍Kafka两种认证方式 kafka验证方式: SASL/PLAIN:不能动态添加用户配置文件写死账号密码 SASL/SCRAM: 可以动态的添加用户 SASL/PLAIN方式 cd /usr/local/kafka/kafka_2.12-3.0.1/bin/ ## 复制一份sasl cp kafka-server-start.sh kafka-server-start-sasl.sh 在kafka-server-start-sasl.sh 末尾修改配置 exe
kafka快速配置启用ACL示例
程序猿的樊笼
08-30 3985
前言 kafka支持基于SSLSASL两种认证机制,本文以SASL说明。 kafka支持的SASL机制有5种:GSSAPI、PLAIN、SCRAM、OAUTHBEARER、Delegation Token。 本文使用SCRAM认证方式:一种通过用户名/密码的认证机制,可以动态增加删除(PLAIN也是用户名/密码认证,但是写死在配置文件,增加新配置需要重启) kafka版本我现在用的是从github trunk分支拉的最新代码,启动的版本信息如下: Starting build with ve
Could not find a 'KafkaClient' entry ...System property 'java.security.auth.login.config' is not set
RuiClear的博客
07-25 6999
加入授权认证代码后报错: Exception in thread “priceAndPromLogThread” org.apache.kafka.common.KafkaException: Failed to construct kafka consumer at org.apache.kafka.clients.consumer.KafkaConsumer.(KafkaConsumer.ja...
简述一下kafka安全机制
u012534547的博客
02-07 1499
在。
开启kafka密码认证
雅冰石的专栏
04-02 2万+
Kafka默认未开启密码认证,可以免密登录,太不安全,因此需要开启密码认证。 一 kafka认证方式类型 kafka提供了多种安全认证机制,主要分为SSLSASL大类。其中SASL/PLAIN是基于账号密码的认证方式,比较常用 1.1 SSL 1.2 SASL 1.2.1 SASL/Kerberos 1.2.2 SASL/PLAIN 1.2.3 SASL/SCRAM 二 测试SASL/PLAIN进行身份验证 SASL/PLAIN是一种简单的用户名/密码身份..
java.lang.ClassNotFoundException的解决方法:
热门推荐
anana125的博客
05-26 12万+
【转载于此】 java.lang.ClassNotFoundException的解决方法: 1.java运行环境的jdk版本比class文件的编译版本低了导致 2.class文件的访问权限或者所在目录的访问权限有问题,导致java无法读这个文件 3.jar包有错误,查看jar是否有漏或者重新导入jar包出现 java.lang.classnotfoundexception问题真的是很烦人,找资料解决问题弄了半天时间都没找到方法,走了许多的弯路,最终还是回到了原点找到了问题解决办法,费尽心机最终是解决了,但过
华为云云耀云服务器L实例评测|华为云上安装kafka
西京刀客
09-21 2082
Kafka是由LinkedIn公司开发的一款开源分布式消息流平台,由ScalaJava编写。主要作用是为处理实时数据提供一个统一、高吞吐、低延迟的平台,其本质是基于发布订阅模式的消息引擎系统。
使用 Kafka 缓存优化 ELK 日志收集
王清欢的博客
04-09 4920
00 前言 上回书,我们提到直接使用 Filebeat 在节点上采集日志数据然后直接传输给 Elasticsearch 存储,在日志规模较大时,可能导致 Elasticsearch 存储集群容量不足,或者出现性能瓶颈的问题。 针对这个问题我们提出了👉 使用 Redis 缓存优化 ELK 日志收集 👈 但是 ELK 使用 Redis 作为缓存的一个缺陷在于:Filebeat 采集的日志数据只能传输给 Redis 的单节点,不能传输给 Redis 集群或者 Redis 哨兵(在新版本中应该会有所改进) 针对这个
java.lang.ClassNotFoundException:如何解决
编程不良人
08-17 1万+
好吧,因为我们将完整的类名更改为org.ph.javaee.training5.ClassB,所以在运行时找不到此类(不存在),从而导致Class.forName()ClassLoader.loadClass()调用均失败。正在从ClassLoader’sun.misc.Launcher$AppClassLoader@2a340e’加载org.ph.javaee.training5.ClassA类的类…正在创建org.ph.javaee.training5.ClassA的新实例…...
链接KAFKA异常:Authentication failed during authentication due to invalid credentials with SASL mechanism
weixin_42498883的博客
07-14 1万+
Authentication failed during authentication due to invalid credentials with SASL mechanism
kafka学习笔记八kafka的权限管理之ACL权限控制
hwhanwan的专栏
08-29 1万+
kafka的权限管理之ACL权限控制 1.broker acl configuration 2.producer acl write 3.consumer acl read 4.programming acl (consumer &amp; producer)   一、配置 broker sasl(acl) configuration 1.1 分别复制server.properties...
.\bin\windows\zookeeper-server-start.bat .\config\zookeeper.properties启动原因: java.lang.ClassNotFoundException: org.apache.zookeeper.server.quorum.QuorumPeerMain
最新发布
09-09
<think> 我们正在解决启动ZooKeeper时出现的`java.lang.ClassNotFoundException: org.apache.zookeeper.server.quorum.QuorumPeerMain`错误。这个错误表明Java虚拟机无法找到`QuorumPeerMain`类,这通常是因为ZooKeeper的jar文件缺失或路径配置不正确。 根据引用内容,特别是引用[2][3],我们可以分析原因并给出解决方案: ### 原因分析 1. **ZooKeeper的jar包缺失或路径错误**:启动脚本可能无法正确加载ZooKeeper的jar文件。 2. **环境变量配置问题**:可能`JAVA_HOME`未正确配置,或者ZooKeeper的启动脚本中引用的jar路径不正确。 3. **启动脚本错误**:在Kafka中启动ZooKeeper时,使用的脚本`zookeeper-server-start.bat`可能依赖的库路径不正确。 ### 解决方案 #### 步骤1:确认ZooKeeper的jar包存在 确保在Kafka的libs目录下存在ZooKeeper的jar包(例如:`zookeeper-3.5.9.jar`)。路径通常为: ``` kafka安装目录/libs/zookeeper-*.jar ``` 如果该jar包不存在,你需要重新下载Kafka或者单独下载ZooKeeper的jar包并放入libs目录。 #### 步骤2:检查启动脚本(针对Kafka集成的ZooKeeper) 在Kafka中,启动ZooKeeper的脚本是`bin/windows/zookeeper-server-start.bat`。我们需要检查该脚本中设置的类路径(classpath)是否正确。 打开`zookeeper-server-start.bat`,查找设置`CLASSPATH`的地方。正常情况下,它应该包含`zookeeper-*.jar`。例如: ```batch set CLASSPATH=%BASE_DIR%\libs\* ``` 如果脚本中没有正确设置类路径,你可以手动修改,添加ZooKeeper的jar包路径。 #### 步骤3:检查Java环境变量 根据引用[3],确保`JAVA_HOME`环境变量已正确设置,并且指向的路径存在。在命令行中执行: ```cmd echo %JAVA_HOME% ``` 查看输出的路径是否正确。如果不正确,请重新设置。 #### 步骤4:手动指定类路径运行 如果上述步骤无效,可以尝试手动指定类路径来启动ZooKeeper。在命令行中执行: ```cmd java -cp "G:\kafka_2.13-2.8.0\libs\*" org.apache.zookeeper.server.quorum.QuorumPeerMain .\config\zookeeper.properties ``` 请将路径`G:\kafka_2.13-2.8.0\libs\*`替换为你实际的Kafka的libs目录路径。 #### 步骤5:重新安装或下载完整包 如果仍然无法解决,可能是Kafka发行包损坏,建议重新下载Kafka并解压。 ### 总结 该错误主要是由于类路径中缺少ZooKeeper的jar包引起的,重点检查: 1. Kafka的libs目录下是否有ZooKeeper的jar包。 2. 启动脚本中的类路径设置是否正确。 3. Java环境变量是否正确设置。 通过以上步骤,通常可以解决该问题。 §§相关问题§§ 1. 如何正确设置Kafka的启动脚本以避免类路径问题? 2. ZooKeeperKafka版本不兼容会导致哪些问题? 3. 在Windows系统中启动ZooKeeper时,如何检测并修复环境变量问题?[^3][^5] </think> ### 解决 `ClassNotFoundException: QuorumPeerMain` 错误 当执行 `.\bin\windows\zookeeper-server-start.bat .\config\zookeeper.properties` 时出现 `java.lang.ClassNotFoundException: org.apache.zookeeper.server.quorum.QuorumPeerMain` 错误,根本原因是 **ZooKeeper 核心类文件缺失或类路径配置错误**。以下是系统级解决方案: --- ### 一、错误原因分析 1. **JAR 包缺失** Kafka 附带的 ZooKeeper 缺少核心 JAR 文件(如 `zookeeper-*.jar`)。 2. **类路径配置错误** 启动脚本未正确加载 ZooKeeper 的 JAR 文件(参考 Kafka 标准启动方式[^2])。 3. **版本不兼容** ZooKeeperKafka 版本不匹配(如 Kafka 内置 ZooKeeper 被破坏)。 4. **文件损坏** 下载的 Kafka/ZooKeeper 安装包不完整。 --- ### 二、解决方案步骤 #### ✅ 步骤 1:验证 JAR 文件存在性 检查 Kafka 安装目录下的 JAR 文件: ```powershell # 进入 Kafka 的 libs 目录 cd G:\kafka_2.13-3.2.1\libs # 查找 ZooKeeper JAR(关键文件) dir zookeeper-*.jar ``` - ✅ **正常应有输出**:`zookeeper-3.8.0.jar`(版本可能不同) - ❌ **异常情况**:无输出或文件大小异常(< 1MB) #### ✅ 步骤 2:修复类路径配置 修改 `zookeeper-server-start.bat` 启动脚本: ```batch @echo off rem 原始内容上方添加以下两行: set BASE_DIR=%~dp0.. set CLASSPATH=%BASE_DIR%\libs\* rem 原始启动命令保持不变: call %BASE_DIR%\bin\windows\kafka-run-class.bat org.apache.zookeeper.server.quorum.QuorumPeerMain %* ``` > **原理**:显式指定 `CLASSPATH` 加载所有 libs 下的 JAR(参考 Kafka 标准启动逻辑[^2]) #### ✅ 步骤 3:手动指定类路径启动(临时测试) ```powershell java -cp "G:\kafka\libs\*" org.apache.zookeeper.server.quorum.QuorumPeerMain .\config\zookeeper.properties ``` - 替换 `G:\kafka\libs\*` 为你的实际路径 - 若能启动,证明步骤 2 的修复有效 #### ✅ 步骤 4:重新下载完整安装包 如果缺 JAR 文件: 1. 访问 [Apache Kafka 官网](https://kafka.apache.org/downloads) 2. 下载 **完整二进制包**(名称含 `tgz` 或 `zip`,约 100MB) 3. 替换损坏的 libs 目录 #### ✅ 步骤 5:检查版本兼容性 确保组件版本匹配: ```mermaid graph LR A[Kafka版本] --> B[内置ZooKeeper版本] B --> C[所需QuorumPeerMain类] ``` - **兼容查询**:参考 [Kafka 官方兼容性列表](https://cwiki.apache.org/confluence/display/KAFKA/Compatibility+Matrix) --- ### 三、预防措施 1. **验证安装包完整性** 下载后检查文件哈希值: ```powershell CertUtil -hashfile kafka_2.13-3.2.1.tgz SHA256 ``` 对比官网提供的校验值(如 `d0d7f4d7...`) 2. **使用独立 ZooKeeper** 若问题持续,改用独立 ZooKeeper(参考独立安装流程[^3]): ```powershell # 独立启动 ZooKeeper .\zookeeper-server-start.bat ..\conf\zoo.cfg ``` 3. **环境变量检查** 确保 `JAVA_HOME` 指向有效 JDK(非 JRE),ZooKeeper 需要 JDK 编译支持[^3]。 > **关键提示**:90% 的此类错误通过**步骤 2(修复类路径)** 或**步骤 4(重下安装包)** 解决。优先检查 libs 目录的 JAR 完整性!
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值