zookeeper开启SASL权限认证

已于 2024-09-10 09:46:42 修改
阅读量4.7k 收藏 27
点赞数 22
分类专栏: zookeeper 文章标签: zookeeper JAAS SASL
于 2024-07-25 15:39:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cj_eryue/article/details/140686206
版权

目录

一、SASL介绍

二、使用 SASL 进行身份验证

2.1 服务器到服务器的身份验证

2.2 客户端到服务器身份验证

三、验证功能

一、SASL介绍

默认情况下,ZooKeeper 不使用任何形式的身份验证并允许匿名连接。但是,它支持 Java 身份验证与授权服务(JAAS),可用于使用简单身份验证和安全层(SASL)设置身份验证。zookeeper 支持使用带有本地存储的凭证的 DIGEST-MD5 SASL 机制进行身份验证。

SASL是一种用来扩充C/S模式验证能力的机制认证机制, 全称Simple Authentication and Security Layer。

二、使用 SASL 进行身份验证

JAAS 使用单独的配置文件进行配置。建议将 JAAS 配置文件放在与 ZooKeeper 配置相同的目录中(/zookeeper/conf/)。如文件名是 jaas.conf。ZooKeeper 是集群部署时,必须在所有节点上创建 JAAS 配置文件。

SASL 身份验证是单独配置的,用于服务器对服务器通信( ZooKeeper 实例之间的通信)和客户端对服务器通信( 客户端和 ZooKeeper 之间的通信)。服务器对服务器身份验证仅与具有多个节点的 ZooKeeper 集群相关。

2.1 服务器到服务器的身份验证

对于服务器到服务器身份验证,JAAS 配置文件包含两个部分:

  • 服务器配置
  • 客户端配置

使用 DIGEST-MD5 SASL 机制时,QuorumServer 上下文用于配置身份验证服务器。它必须包含允许所有用户名,以便其以未加密的形式与其密码连接。第二个上下文 QuorumLearner 必须为内置在 ZooKeeper 中的客户端配置。它还包含未加密格式的密码。以下是 DIGEST-MD5 机制的 JAAS 配置文件示例:


                

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    


                



	

		

			

				
					
最新Apache zookeeper kafka 开启SASL安全认证

				
			

			

				

					2401_84281698的博客
				

				

					05-02
					
					926
					
				

			

		

		

			
				
使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。Client配置了broker到Zookeeper的连接用户名密码,这里要和前面zookeeper配置中的zk_jaas.conf.conf 中 user_kafka 的账号和密码相同。

			
		

	



                

            
              



	

		

			

				
					
Apache zookeeper kafka 开启SASL安全认证

				
			

			

				

					2401_87298714的博客
				

				

					09-21
					
					1444
					
				

			

		

		

			
				
使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。Client配置了broker到Zookeeper的连接用户名密码,这里要和前面zookeeper配置中的zk_jaas.conf.conf 中 user_kafka 的账号和密码相同。

			
		

	



              


  
              

                


	

		

			

				
					
[zookeeper] SASL(Simple Authentication and Security Layer) 用户名密码认证配置

				
			

			

				

					FaceFullofConfused的博客
				

				

					07-12
					
					6504
					
				

			

		

		

			
				
使用zookeeper zkCli.sh 连接 zookeeper服务时,默认裸连,晓得ip与端口之后即可连接zookeeper服务,本文使用SASL 用户名密码配置服务端与客户端,在zkCli连接前,服务端配置xxxjaas.conf保存用户名密码,客户端(也就是zkCli或者各种语言的sdk)连接时同样也需要xxxjaas.conf文件来进行认证

			
		

	





	

		

			

				
					
Kafka SASL/SCRAM介绍

				
			

			

				

					王多鱼的梦想
				

				

					02-02
					
					1913
					
				

			

		

		

			
				
SASL/SCRAM(Salted Challenge Response Authentication Mechanism)使用加密的密码存储和认证机制,可以有效防止密码明文传输,因此在生产环境中得到了广泛应用。

			
		

	



		

			
		



	

		

			

				
					
zookeeper增加权限登录验证

				
			

			

				

					11-19
				

			

		

		

			
				
针对zookeeper的安全漏洞,增加了对访问ip地址的限制。

			
		

	





	

		

			

				
					
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证

				
			

			

				

					2401_84968371的博客
				

				

					05-16
					
					2254
					
				

			

		

		

			
				
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

			
		

	





	

		

			

				
					
Apache zookeeper kafka 开启SASL安全认证 —— 筑梦之路

				
			

			

				

					筑梦之路
				

				

					08-23
					
					5094
					
				

			

		

		

			
				
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。

			
		

	





	

		

			

				
					
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证

				
			

			

				

					2401_84302369的博客
				

				

					05-01
					
					1797
					
				

			

		

		

			
				
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。

			
		

	





	

		

			

				
					
storm统计服务开启zookeeper、kafka 、Storm(sasl认证

				
			

			

				

					平凡的运维之路的博客
				

				

					01-18
					
					1301
					
				

			

		

		

			
				
启动拓扑图时需要指定stormStatics.jar 包,如果使用新storm安装包没有,请自行找测试部要stormStatics.jar包。zookeeper设置用户密码,并设置连接zookeeper白名单。单独配置zookeeper 支持acl 设置用户和密码,在storm不修改代码情况下和kafka支持。当前版本不支持连接kafka支持 ACL, 需要修改storm jar包,待研发布支持版本。当kafka 开启ACL时,storm 和ccod模块不清楚配置用户和密码。

			
		

	





	

		

			

				
					
Kafka+zookeeper安装及sasl认证(二)

				
			

			

				

					qq_43700739的博客
				

				

					03-31
					
					4652
					
				

			

		

		

			
				
kafka安全认证sasl
一、环境
kafka_2.13-2.8.0,zookeeper-3.6.3(这里不是用kafka自带的zookeeper)
二、修改配置文件
1、zookeeper配置
(1)为zookeeper添加SASL支持,在conf下配置文件zoo.cfg添加
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRe

			
		

	





	

		

			

				
					
Zookeeper & Kafka 开启安全认证的配置

				
			

			

				

					IT布道
				

				

					08-10
					
					9306
					
				

			

		

		

			
				
Zookeeper&Kafka 安全认证

			
		

	





	

		

			

				
					
zookeeper之安全认证和实际应用

				
			

			

				

					上善若泪
				

				

					03-26
					
					1729
					
				

			

		

		

			
				
文章目录1 zk的安全认证1.1 zookeeper的ACL1.2 代码说明2 zk的实际应用2.1 在eclipse中添加工具2.2 代码说明2.2.1 服务器端2.2.2 客户端一2.2.3 客户端二2.2.4 测试端
1 zk的安全认证
1.1 zookeeper的ACL
ACL(Access Control List),Zookeeper作为一个分布式协调框架,其内部存储的都是一些关乎分布...

			
		

	





	

		

			

				
					
zookeeper开启SASL,并且设置kafka如何连接

				
			

			

				

					chou_kawaii的博客
				

				

					09-02
					
					6332
					
				

			

		

		

			
				
zookeeper开启sasl认证

			
		

	





	

		

			

				
					
zookeeper和kafka的安全认证机制SASL(动态)

				
			

			

				

					Mr.理的博客
				

				

					02-27
					
					767
					
				

			

		

		

			
				
zookeeper和kafka的安全认证机制SASL(动态)

			
		

	





	

		

			

				
					
开启zookeeper的安全认证功能,并配置kafka对zookeeper的身份验证

					
热门推荐

				
			

			

				

					zhang5324496的博客
				

				

					12-21
					
					3万+
					
				

			

		

		

			
				
目录

1-- 为啥需要开启zookeeper认证

2-- 如何开启zookeeper认证

2.1-- 修改文件 zoo.cfg, 开启认证功能

2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf)

2.3-- 设置jaas.conf的权限权限zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root

2.4-- 更新zookeeper的JVM flags

2.5...

			
		

	





	

		

			

				
					
kafka开启SASL认证后,如何配置连接zookeeper不使用SASL

					
最新发布

				
			

			

				

					03-14
				

			

		

		

			
				
<think>嗯,用户的问题是关于在Kafka启用SASL认证时,如何配置ZooKeeper连接不使用SASL。我需要先理解他们的问题场景。可能的情况是,用户已经为Kafka配置了SASL认证,但希望ZooKeeper保持不启用SASL,或者两者使用不同的认证机制。这个时候需要确保Kafka与ZooKeeper之间的连接不需要SASL。

首先,我需要回忆一下Kafka和ZooKeeper的配置关系。Kafka作为分布式系统,通常依赖ZooKeeper来进行元数据管理和协调。在配置Kafka的安全机制时,ZooKeeper的安全配置通常是独立的,也就是说,Kafka的SASL配置不一定影响ZooKeeper的连接。但用户可能遇到了问题,比如Kafka尝试用SASL连接ZooKeeper,而ZooKeeper并没有配置SASL,导致连接失败。

接下来,我需要查阅相关的配置参数。Kafka的配置文件中,特别是server.properties,有关于ZooKeeper连接的参数,比如zookeeper.connect。如果用户希望禁用SASL,可能需要检查是否有与安全相关的参数被错误地应用到了ZooKeeper连接上。例如,是否在Kafka的配置中设置了ZooKeeperSASL相关属性,如zookeeper.client.secure或者security相关的参数。

根据引用内容,引用[2]中提到了ZooKeeper和Kafka的SASL认证配置,其中Kafka的server.properties配置了SASL_PLAINTEXT监听器,但并没有提到ZooKeeper的配置是否需要同步修改。可能用户在这里误解了,认为Kafka的SASL配置会自动应用到ZooKeeper,但实际上两者是分开的。

正确的做法应该是确保Kafka连接ZooKeeper时使用的是普通连接,而不是SASL。这时候需要检查Kafka的配置中是否有与ZooKeeper安全相关的参数被设置。例如,zookeeper.client.config参数指定了ZooKeeper客户端的配置文件,如果这个文件中有SASL配置,就需要将其移除或设置为不使用SASL。

另外,Kafka的ZooKeeper客户端默认是不使用SASL的,除非显式配置。所以用户可能的问题是,在配置Kafka的SASL时,错误地配置了ZooKeeperSASL参数,导致连接失败。解决方法就是检查这些配置,并确保ZooKeeper连接使用的是普通的无认证方式。

同时,需要提醒用户,如果ZooKeeper本身启用了SASL,那么Kafka必须配置相应的参数来连接。但用户的问题正好相反,希望ZooKeeper不启用SASL,所以只需确保Kafka的配置中没有为ZooKeeper启用SASL即可。

总结下来,步骤应该是:检查Kafka配置中的ZooKeeper相关参数,移除任何SASL设置,确保ZooKeeper连接使用普通协议,如PLAINTEXT,并且不需要SASL认证。同时,可能需要验证ZooKeeper本身的配置是否确实没有启用SASL,避免因为ZooKeeper服务端的问题导致连接失败。</think>在Kafka启用SASL认证时,若需要配置ZooKeeper连接不使用SASL,需通过以下步骤实现:

### 一、核心原理
Kafka与ZooKeeper认证配置相互独立。Kafka的SASL认证通过`server.properties`实现,而ZooKeeper连接的安全性需通过**独立的客户端配置**控制。默认情况下,若未显式配置ZooKeeperSASL参数,Kafka将以普通明文协议连接ZooKeeper[^3]。

### 二、具体配置步骤
1. **保持ZooKeeper未启用SASL**  
   - 确保ZooKeeper的`zoo.cfg`配置文件中未添加SASL相关参数(如`authProvider.*`或`requireClientAuthScheme`)

2. **修改Kafka的ZooKeeper客户端配置**  
   在Kafka的`server.properties`中**显式指定非SASL协议**:  
   ```properties
   zookeeper.connect=plaintext://zk_host1:2181,plaintext://zk_host2:2181
   ```

3. **隔离ZooKeeper客户端配置**  
   创建独立的ZooKeeper客户端配置文件(如`zookeeper-client.properties`),内容为:
   ```properties
   zookeeper.sasl.client=false
   zookeeper.client.secure=false
   ```

4. **启动Kafka时指定配置文件**  
   ```bash
   KAFKA_OPTS="-Dzookeeper.client.config=/path/to/zookeeper-client.properties" ./bin/kafka-server-start.sh config/server.properties
   ```

### 三、验证方法
通过ZooKeeper四字命令验证连接类型:
```bash
echo stat | nc localhost 2181 | grep Mode
```
若输出显示`Mode: standalone`且无SASL相关字段,说明连接未使用SASL[^2]。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值