Kafka部署全攻略——基于SSL的SASL_SCRAM安全认证实现

原创 已于 2023-07-05 16:23:50 修改 · 727 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kafka #ssl #安全

于 2023-06-28 16:43:05 首次发布
本文详细介绍了如何在Kafka中实现基于SSL的SASL_SCRAM安全认证,包括Zookeeper和Kafka的配置步骤,以及测试认证的过程。涉及配置文件修改、依赖包导入、用户新增和脚本调整等关键环节。

目录

 Zookeeper配置SASL

新建zoo_jaas.conf文件

配置zookeeper.properties文件(各节点均需修改)

导入依赖包

独立版zookeeper

Kafka集成版zookeeper

修改启动脚本或环境变量脚本(各节点均需修改)

独立版zookeeper

Kafka集成版zookeeper

Kafka配置SASL_SCRAM

新建kafka_server_jaas.conf文件

配置server.properties文件(各节点均需修改)

新增scram用户

修改启动脚本(各节点均需修改)

重启zookeeper及kafka

测试SASL_SCRAM/SSL认证

为主题、生产、消费脚本创建认证配置文件

开始测试

以下以kafka集成zookeeper为例。

本文仅介绍基于以上已开启SSL认证的前提下,追加SASL_PLAIN安全认证的介绍,即SASL_SSL安全认证的实现,其中部分配置与仅开启SASL/PLAIN存在差异。

 Zookeeper配置SASL

新建zoo_jaas.conf文件

  • 进入zookeeper配置目录
cd /opt/tools/kafka_2.13-3.2.1/config
  • 新建zoo_jaas.conf文件
vim zoo_jaas.conf

添加如下内容:

Server {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="rbt@123456"
    user_kafka="kafka@123";
};

  • 说明
    • Server.username、Server.password为 Zookeeper 内部通信的用户名和密码,因此保证每个 zk 节点该属性一致即可
    • Server.user_xxx 中 xxx 为自定义用户名,用于 zkClient 连接所使用的用户名和密码,即为 kafka 创建的用户名
    • 最后一个账号密码配置的末尾,不可缺失“;”分号。即该配置文件中需有两个“;”分号。
  • 复制配置文件到每个节点
scp zoo_jaas.conf root@big2:/opt/tools/kafka_2.13-3.2.1/config

配置zookeeper.properties文件(各节点均需修改)

独立版zookeeper的配置文件为zoo.conf,kafka集成版的配置文件为zookeeper.properties。

  • 添加如下配置项
authProvidential.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000
zookeeper.sasl.client=true

导入依赖包

独立版zookeeper

因为使用的权限验证类为:org.apache.kafka.common.security.plain.PlainLoginModule,所以需要导入Kafka相关jar包,kafka-clients相关jar包,在部署kafka服务下的libs目录中可以找到,根据kafka不同版本,相关jar包版本会有所变化。所需要jar包如下,在zookeeper下创建目录zk_sasl_lib将jar包放入(目录名与位置可以随便,后续引用指定即可)

 

  • 拷贝jar文件到zk_sasl_lib目录

 

  • 编辑zookeeper环境变量脚本
vim bin/zkEnv.sh

添加如下内容:

for i in /apps/apache-zookeeper-3.8.1-bin/zk_sasl_lib/*.jar;
do
    CLASSPATH="$i:$CLASSPATH"
done

Kafka集成版zookeeper

原生具备,无需配置。

修改启动脚本或环境变量脚本(各节点均需修改)

修改启动脚本或环境变量脚本,使之加载zoo_jaas.conf文件

独立版zookeeper

  • 修改环境变量脚本
/opt/too
最低0.47元/天 解锁文章
Kafka 开启SASL/SCRAM认证 及 ACL授权(二)ACL
代码讲故事
10-13 1055
Kafka 开启SASL/SCRAM认证 及 ACL授权(二)ACL。
Kerberos安全认证-连载12-Kafka Kerberos安全配置及访问
qq_32020645的博客
06-22 4985
技术连载系列,前面内容请参考前面连载11内容:​​​​​​​​​​​​​​Kafka也支持通过Kerberos进行认证,避免非法用户操作读取Kafka中的数据,对Kafka进行Kerberos认证可以按照如下步骤实现。在kerberos服务端node1节点执行如下命令将Kafka服务主体写入到keytab文件。
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 3690
zookeeper和kafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
kafka集群、单机 开启Sasl_Scram认证
weixin_48055770的博客
12-02 2244
kafka配置开启SASL认证
KafkaKafka如何开启sasl认证?
m0_66705151的博客
09-18 1042
通过以上步骤,即可完成KafkaSASL_PLAINTEXT配置,实现基于用户名+密码的身份验证。如需更高的安全性,建议升级到。(基于SASL/PLAIN机制的非加密认证),需分别完成。,与Broker建立连接。传输数据(仅适用于内网或信任网络)。(生产者/消费者)的配置,以下是。SASL_PLAINTEXT是。客户端(生产者/消费者)需指定。修改Broker的启动脚本((参考Kafka官方文档)。(Kafka集群)和。
kafka2.4.1】kafka增加身份认证
qq_31286957的博客
09-25 734
1、进入kafka目录,修改kafka配置文件,修改config/server.properties文件,并添加如下内容。2、在kafka目录下config目录,创建配置文件kafka_server_jaas.conf,填入如下内容。1、版本 kafka 2.4.1 ,zookeeper3.5.7(自行下载)3、在当前kafka目录下,修改kafka启动脚本。kafka默认部署情况下是没有身份认证。5、springboot 连接kafka。4、启动zk、kafka。2、单节点 kafka
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2610
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证
代码讲故事
10-13 1437
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证。
Kafka部署全攻略——基于SASL_SCRAM/SSL认证的ACL权限控制
bbsxb520的博客
06-28 429
基于SASL_SCRAM/SSL认证的ACL权限控制
Kafka部署全攻略——Kafka SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 968
Kafka SASL_SCRAM安全认证实现
Kafka部署指南:基于SSLSASL_SCRAM安全认证实现
WdzDevops的博客
09-17 300
本文将详细介绍如何使用SSLSASL_SCRAM机制来保护Kafka集群的安全,并提供相应的源代码示例。以上就是基于SSLSASL_SCRAM安全认证实现Kafka部署全攻略。通过SSL证书和SASL_SCRAM机制,可以确保Kafka集群与客户端之间的通信安全和认证。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际路径,并提供正确的密码。
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192
Kafka部署全攻略——基于SASL_PLAIN/SSL认证的ACL权限控制
bbsxb520的博客
06-28 248
基于SASL_PLAIN/SSL认证的ACL权限控制
Kafka SASL/SCRAM介绍
王多鱼的梦想
02-02 2726
SASL/SCRAM(Salted Challenge Response Authentication Mechanism)使用加密的密码存储和认证机制,可以有效防止密码明文传输,因此在生产环境中得到了广泛应用。
kafka sasl_ssl配置
totoro1992的博客
09-29 2804
kafka sasl_ssl配置
kafka安装部署-前面部分
wt6002的博客
09-03 521
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
Kafka配置SASL认证
Healer_银尘的博客
07-12 1834
在本博客中我们使用SASL/PLAIN的方式来进行Kafka加密。
Kafka】手把手SASLSSL教学
metaldong的博客
01-12 4793
kafkaSASLSSL配置全指南
kafka设置安全认证SASL/PLAIN)
ggbrxxzld的博客
12-05 1063
kafka安全认证:一种简单的用户名/密码身份验证机制
kafka kraft sasl_ssl scram
最新发布
11-21
### Kafka Kraft 模式下 SASL_SSLSCRAM 认证的使用方法及相关配置 #### 1. 环境准备 在开始配置之前,需要确保已经安装了 Kafka,并且集群处于 Kraft 模式。Kraft 模式是 Kafka 从 3.0 版本开始引入的无 ZooKeeper 模式。 #### 2. 生成 SCRAM 凭证 SCRAM 凭证用于用户认证,可通过 `kafka-configs.sh` 命令生成。凭证信息全局集群共享,仅需在任一节点执行一次,不需要每台机器分别执行。以下是创建一个名为 `alice` 的用户的示例命令: ```bash bin/kafka-configs.sh --bootstrap-server localhost:9092 --alter --add-config 'SCRAM-SHA-256=[password=your_password],SCRAM-SHA-512=[password=your_password]' --entity-type users --entity-name alice ``` #### 3. Broker 端配置 在 `server.properties` 文件中进行以下配置: - **启用 SASL_SSL 协议** ```properties listeners=SASL_SSL://:9092 advertised.listeners=SASL_SSL://your_hostname:9092 ``` - **配置 SASL 机制** ```properties security.inter.broker.protocol=SASL_SSL sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256 sasl.enabled.mechanisms=SCRAM-SHA-256 ``` - **配置 SSL 相关参数** ```properties ssl.keystore.location=/path/to/keystore.jks ssl.keystore.password=keystore_password ssl.key.password=key_password ssl.truststore.location=/path/to/truststore.jks ssl.truststore.password=truststore_password ``` - **配置 JAAS 文件** 创建一个 JAAS 文件,例如 `kafka_server_jaas.conf`,内容如下: ```plaintext KafkaServer { org.apache.kafka.common.security.scram.ScramLoginModule required username="alice" password="your_password"; }; ``` 并在 `server.properties` 中指定该文件的路径: ```properties sasl.jaas.config=file:/path/to/kafka_server_jaas.conf ``` #### 4. 客户端配置 对于 Kafka 客户端(如生产者和消费者),需要在配置文件中进行相应的配置。以下是一个 Java 生产者的配置示例: ```java import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.common.config.SaslConfigs; import org.apache.kafka.common.config.SslConfigs; import java.util.Properties; public class KafkaProducerConfig { public static Properties getConfig() { Properties props = new Properties(); props.put(ProducerConfig.BOOTSTRAP_SERVERS_CONFIG, "your_hostname:9092"); props.put(ProducerConfig.KEY_SERIALIZER_CLASS_CONFIG, "org.apache.kafka.common.serialization.StringSerializer"); props.put(ProducerConfig.VALUE_SERIALIZER_CLASS_CONFIG, "org.apache.kafka.common.serialization.StringSerializer"); // 配置 SASL_SSL props.put(ProducerConfig.SECURITY_PROTOCOL_CONFIG, "SASL_SSL"); props.put(SaslConfigs.SASL_MECHANISM, "SCRAM-SHA-256"); props.put(SaslConfigs.SASL_JAAS_CONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username=\"alice\" password=\"your_password\";"); // 配置 SSL props.put(SslConfigs.SSL_TRUSTSTORE_LOCATION_CONFIG, "/path/to/truststore.jks"); props.put(SslConfigs.SSL_TRUSTSTORE_PASSWORD_CONFIG, "truststore_password"); return props; } } ``` #### 5. 验证配置 启动 Kafka 集群和客户端,尝试发送和接收消息,验证配置是否生效。 ### 总结 通过以上步骤,可以在 Kafka Kraft 模式下成功配置并使用 SASL_SSLSCRAM 认证。关键步骤包括生成 SCRAM 凭证、配置 Broker 端和客户端的认证信息以及 SSL 参数。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值