zookeeper 和 kafka Sasl认证登录(服务端)

原创 已于 2022-01-21 12:41:19 修改 · 3.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kafka #zookeeper #java

于 2022-01-20 11:28:18 首次发布
本文介绍如何配置Kafka和Zookeeper的安全认证,包括应用版本选择、配置步骤及重启服务等内容。适用于希望增强消息传递安全性场景。

目录

一、应用版本: 

一、zookeeper的安全认证配置

二、kafka的安全认证配置(如果需要开启Kafka的安全认证则配置该项)

三、重启zookeeper和kafka

一、应用版本: 

应用版本
应用名称下载链接

apache_zookeeper-3.7.0-bin.tar.gz

点击进入官网

https://dlcdn.apache.org/zookeeper/zookeeper-3.7.0/apache-zookeeper-3.7.0-bin.tar.gz
https://downloads.apache.org/zookeeper/zookeeper-3.7.0/apache-zookeeper-3.7.0-bin.tar.gz
下载链接哪个快用哪个,我用的是第二个

kafka_2.12-2.8.1.tgz

点击进入官网

https://archive.apache.org/dist/kafka/2.8.1/kafka_2.13-2.8.1.tgz

Ubuntu18.04 (其他linux也可以)

点击进入官网)

https://mirrors.hit.edu.cn/ubuntu-releases/18.04.6/ubuntu-18.04.6-live-server-amd64.iso

1.应用下载、解压、目录重命名(也可以提前下载好以后上传到 /opt 目录下)

cd /opt &&  \
wget https://downloads.apache.org/zookeeper/zookeeper-3.7.0/apache-zookeeper-3.7.0-bin.tar.gz && \
wget https://archive.apache.org/dist/kafka/2.8.1/kafka_2.13-2.8.1.tgz && \
tar -zxvf apache-zookeeper-3.7.0-bin.tar.gz && \
tar -zxvf kafka_2.13-2.8.1.tgz && \
mv apache-zookeeper-3.7.0-bin zookeeper && \
mv kafka_2.13-2.8.1 kafka &&\
cp /opt/zookeeper/conf/zoo_sample.cfg /opt/zookeeper/conf/zoo.cfg

一、zookeeper的安全认证配置

说明:这里的kafka和zookeeper的目录是你(解压/重命名)的那个目录。

1、将 ” /op/kafka/libs “ 目录下的相关jar包,复制到 “ /opt/zookeeper/libs ” 目录下。相关包如下:

kafka-clients-2.8.1.jar
lz4-java-1.7.1.jar
slf4j-api-1.7.30.jar
slf4j-log4j12-1.7.30.jar
snappy-java-1.1.8.1.jar

 也可直接执行下面命令

cd /opt/kafka/libs && cp -r kafka-clients-2.8.1.jar lz4-java-1.7.1.jar slf4j-api-1.7.30.jar slf4j-log4j12-1.7.30.jar snappy-java-1.1.8.1.jar /opt/zookeeper/lib

2、zoo.cfg文件配置

在/opt/zookeeper/conf目录下,在配置文件zoo.cfg中添加如下配置

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider  #开启认证功能
requireClientAuthScheme=sasl   #认证方式为sasl
jaasLoginRenew=3600000
zookeeper.sasl.client=true

3、在/opt/zookeeper目录下创建文件“zk_server_jaas.conf”,内容如下

Server {
org.apache.kafka.common.security.plain.PlainLoginModule required 
    username="testadmin" 
    password="testadmin-2021" 
    user_kafka="testkafka-2021" 
    user_producer="testprod-2021";
};

4、修改/opt/zookeeper/bin 目录下的 zkEnv.sh 配置文件,在原参数上添加如下内容

#export SERVER_JVMFLAGS="-Xmx${ZK_SERVER_HEAP}m $SERVER_JVMFLAGS"
 export SERVER_JVMFLAGS="-Xmx${ZK_SERVER_HEAP}m $SERVER_JVMFLAGS -Djava.security.auth.login.config=/opt/zookeeper/zk_server_jaas.conf"

 

5、在/opt/kafka目录下创建文件“kafka_server_jaas.conf”,内容如下

KafkaServer {
	org.apache.kafka.common.security.plain.PlainLoginModule required
	username="testadmin"
	password="testadmin-2021"
	user_admin="testadmin-2021"
	user_producer="testprod-2021"
	user_consumer="testcons-2021";
};

Client {
org.apache.kafka.common.security.plain.PlainLoginModule required
	username="kafka"
	password="testkafka-2021";
};

6、配置/opt/kafka/config目录下的server.properties配置文件,内容如下

listeners=PLAINTEXT://0.0.0.0:9092
advertised.listeners=PLAINTEXT://:9092
security.inter.broker.protocol=PLAINTEXT  
sasl.enabled.mechanisms=PLAIN  
sasl.mechanism.inter.broker.protocol=PLAIN

7、修改目录/opt/kafka/bin下的“kafka-server-start.sh”脚本,内容如下

#   export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G"
    export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=/opt/kafka/kafka_server_jaas.conf"

 

二、kafka的安全认证配置(如果需要开启Kafka的安全认证则配置该项

配置/opt/kafka/config目录下的server.properties配置文件,内容如下

listeners=SASL_PLAINTEXT://0.0.0.0:9092
advertised.listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol=SASL_PLAINTEXT  
sasl.enabled.mechanisms=PLAIN  
sasl.mechanism.inter.broker.protocol=PLAIN  
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=true

三、重启zookeeper和kafka

zookeeper启动,进入/opt/zookeeper/bin目录执行 ./zkServer.sh start

kafka启动,进入/opt/kafka/bin目录执行 ./kafka-server-start.sh -daemon ../config/server.properties

《大数据: ZooKeeper 客户端命令》
yexiang优快云的专栏
10-26 294
一、ZooKeeper 客户端命令 客户端登入成功后 查看所有命令: ( redis-cli 很像哦,也可以在外面执行!) [zk: localhost:2181(CONNECTED) 0] help ZooKeeper -server host:port cmd args stat path [watch] set path data [version] ls path [watch] delquota [-n|-b] path
Zookeeper zkCli客户端
weixin_54051652的博客
03-07 3243
zkCli客户端
zookeeper增加权限登录验证
11-19
针对zookeeper的安全漏洞,增加了对访问ip地址的限制。
ZOOKEEPER登陆及目录结构
yangmeijing的博客
05-17 2880
 1. 启动ZK服务:       sh bin/zkServer.sh start 2. 查看ZK服务状态: sh bin/zkServer.sh status 3. 停止ZK服务:       sh bin/zkServer.sh stop 4. 重启ZK服务:       sh bin/zkServer.sh restart   [ro
登录zookeeper客户端管理zookeeper
zpc15200790194的专栏
07-09 9243
1.命令行登录      ./zookeeper/binzkCli.sh登录后对zookeeper进行操作   2.使用第三方工具ZooInspector    下载地址如下 :点击打开链接
Apache zookeeper kafka 开启SASL安全认证
2401_87298714的博客
09-21 1625
使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。Client配置了broker到Zookeeper的连接用户名密码,这里要前面zookeeper配置中的zk_jaas.conf.conf 中 user_kafka 的账号密码相同。
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_84302369的博客
05-01 1994
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2301_82056337的博客
04-28 1439
}; KafkaClient { org.apache.kafka.common.security.scram.ScramLoginModule required username=“admin” password=“admin123” user_producer=“producer123” user_consumer=“consumer123”; }; Client { org.apache.kafka.common.security.scram.ScramLoginModule required use
kafka集群开启sasl认证
cuigelasi的博客
03-25 2713
kafka集群开启sasl认证 sasl认证 sasl 是扩展C/S模式验证能力的一种认证机制。它可以规范客户端服务端传输应答传输内容编码,简而言之sasl决定了认证的规则,即客户端如何存储身份证书、客户端与服务端如何校验密码都由sasl决定。当我们的客户端通过校验,服务端便知晓客户端的身份,将赋给客户端相应的权限。 plain机制 sasl最常使用的认证机制就是plain。通过将用户名密码以base64字符串(不加密)方式进行传输。 如果你需要更安全的传输,请结合TLS使用。 zookeeper
Kafka配置SASL_PLAIN、ACL认证授权
u011085311的博客
12-04 1125
SASL/PLAIN认证:含义是简单身份验证授权层应用程序接口,PLAIN认证是其中一种最简单的用户名、密码认证方式,生产环境使用维护简单易用。可用于Kafka其他应用程序之间的认证。配置SASL/PLAIN+ACL认证目前需要编辑两个文件,一个是server.properties,另一个是kafka_server_jaas.conf。server.properties是kafka的主要配置文件,里面有很多参数可以调整。
zookeeper
享受旅行中的VIP快乐
07-10 2850
是一个集中的服务,用于维护配置信息、命名、提供分布式同步提供组服务。所有这些类型的服务都以某种形式被分布式应用程序使用。每次它们被实现时,都会有大量的工作来修复不可避免的错误竞争条件。由于实现这些服务的困难,应用程序最初通常会略过这些服务,这使得它们在出现更改时变得脆弱,并且难以管理。即使正确地执行了这些服务,在部署应用程序时,这些服务的不同实现也会导致管理复杂性由雅虎研究院开发,是的开源实现,后来托管到 ,于正式成为的顶级项目大数据生态系统里由很多组件的命名都是某些动物或者昆虫,比如大象,就是蜂巢,即
Zookeeper
qirenzhiyou的博客
06-27 798
Apache ZooKeeper是Apache软件基金会的一个软件项目,大数据集群服务器的管理者协调者。
分布式服务Dubbo+Zookeeper安全认证
weixin_34174422的博客
12-14 970
前言 由于之前的服务都是在内网,Zookeeper集群配置都是走的内网IP,外网不开放相关端口。最近由于业务升级,购置了阿里云的服务,需要对外开放Zookeeper服务。 问题 Zookeeper+dubbo,如何设置安全认证?不想让其他服务连接Zookeeper,因为这个Zookeeper服务器在外网。 查询官方文档: Zookeeper 是 Apac...
[zookeeper] SASL(Simple Authentication and Security Layer) 用户名密码认证配置
FaceFullofConfused的博客
07-12 7136
使用zookeeper zkCli.sh 连接 zookeeper服务时,默认裸连,晓得ip与端口之后即可连接zookeeper服务,本文使用SASL 用户名密码配置服务端与客户端,在zkCli连接前,服务端配置xxxjaas.conf保存用户名密码,客户端(也就是zkCli或者各种语言的sdk)连接时同样也需要xxxjaas.conf文件来进行认证
Kakfa-SASL身份验证登陆
baifanwudi的专栏
10-16 1510
公司有这样的需求,内网无验证kafka生产,外网消费需要身份验证.环境配置编辑 vim $KAFKA_HOME/config server.properties 找到相应的位置添加修改listeners=SASL_PLAINTEXT://0.0.0.0:19091,PLAINTEXT://192.168.1.xx:19090 security.inter.broker.protocol=SASL_
zookeeper 集群配置文件中增加账号认证
网络战争的博客
01-18 1847
4. 设置环境变量:在每个Zookeeper服务器上设置环境变量,指定`ZOO_OPTS`为`-Djava.security.auth.login.config=zoo_jaas.conf`。该文件将用于配置Zookeeper的权限设置。3. 创建一个JAAS登录文件:在`zoo.cfg`文件同级目录下创建一个命名为`zoo_jaas.conf`的文件,用于存储Zookeeper登录凭据。其中,`Server`是一个标识符,`user_admin`是用户名,`adminpassword`是密码。
kafka开启SASL认证后,如何配置连接zookeeper不使用SASL
最新发布
03-14
<think>嗯,用户的问题是关于在Kafka启用SASL认证时,如何配置ZooKeeper连接不使用SASL。我需要先理解他们的问题场景。可能的情况是,用户已经为Kafka配置了SASL认证,但希望ZooKeeper保持不启用SASL,或者两者使用不同的认证机制。这个时候需要确保KafkaZooKeeper之间的连接不需要SASL。 首先,我需要回忆一下KafkaZooKeeper的配置关系。Kafka作为分布式系统,通常依赖ZooKeeper来进行元数据管理协调。在配置Kafka的安全机制时,ZooKeeper的安全配置通常是独立的,也就是说,KafkaSASL配置不一定影响ZooKeeper的连接。但用户可能遇到了问题,比如Kafka尝试用SASL连接ZooKeeper,而ZooKeeper并没有配置SASL,导致连接失败。 接下来,我需要查阅相关的配置参数。Kafka的配置文件中,特别是server.properties,有关于ZooKeeper连接的参数,比如zookeeper.connect。如果用户希望禁用SASL,可能需要检查是否有与安全相关的参数被错误地应用到了ZooKeeper连接上。例如,是否在Kafka的配置中设置了ZooKeeperSASL相关属性,如zookeeper.client.secure或者security相关的参数。 根据引用内容,引用[2]中提到了ZooKeeperKafkaSASL认证配置,其中Kafka的server.properties配置了SASL_PLAINTEXT监听器,但并没有提到ZooKeeper的配置是否需要同步修改。可能用户在这里误解了,认为KafkaSASL配置会自动应用到ZooKeeper,但实际上两者是分开的。 正确的做法应该是确保Kafka连接ZooKeeper时使用的是普通连接,而不是SASL。这时候需要检查Kafka的配置中是否有与ZooKeeper安全相关的参数被设置。例如,zookeeper.client.config参数指定了ZooKeeper客户端的配置文件,如果这个文件中有SASL配置,就需要将其移除或设置为不使用SASL。 另外,KafkaZooKeeper客户端默认是不使用SASL的,除非显式配置。所以用户可能的问题是,在配置KafkaSASL时,错误地配置了ZooKeeperSASL参数,导致连接失败。解决方法就是检查这些配置,并确保ZooKeeper连接使用的是普通的无认证方式。 同时,需要提醒用户,如果ZooKeeper本身启用了SASL,那么Kafka必须配置相应的参数来连接。但用户的问题正好相反,希望ZooKeeper不启用SASL,所以只需确保Kafka的配置中没有为ZooKeeper启用SASL即可。 总结下来,步骤应该是:检查Kafka配置中的ZooKeeper相关参数,移除任何SASL设置,确保ZooKeeper连接使用普通协议,如PLAINTEXT,并且不需要SASL认证。同时,可能需要验证ZooKeeper本身的配置是否确实没有启用SASL,避免因为ZooKeeper服务端的问题导致连接失败。</think>在Kafka启用SASL认证时,若需要配置ZooKeeper连接不使用SASL,需通过以下步骤实现: ### 一、核心原理 KafkaZooKeeper认证配置相互独立。KafkaSASL认证通过`server.properties`实现,而ZooKeeper连接的安全性需通过**独立的客户端配置**控制。默认情况下,若未显式配置ZooKeeperSASL参数,Kafka将以普通明文协议连接ZooKeeper[^3]。 ### 二、具体配置步骤 1. **保持ZooKeeper未启用SASL** - 确保ZooKeeper的`zoo.cfg`配置文件中未添加SASL相关参数(如`authProvider.*`或`requireClientAuthScheme`) 2. **修改KafkaZooKeeper客户端配置** 在Kafka的`server.properties`中**显式指定非SASL协议**: ```properties zookeeper.connect=plaintext://zk_host1:2181,plaintext://zk_host2:2181 ``` 3. **隔离ZooKeeper客户端配置** 创建独立的ZooKeeper客户端配置文件(如`zookeeper-client.properties`),内容为: ```properties zookeeper.sasl.client=false zookeeper.client.secure=false ``` 4. **启动Kafka时指定配置文件** ```bash KAFKA_OPTS="-Dzookeeper.client.config=/path/to/zookeeper-client.properties" ./bin/kafka-server-start.sh config/server.properties ``` ### 三、验证方法 通过ZooKeeper四字命令验证连接类型: ```bash echo stat | nc localhost 2181 | grep Mode ``` 若输出显示`Mode: standalone`且无SASL相关字段,说明连接未使用SASL[^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kknacl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值