Kafka+zookeeper安装及sasl认证(二)

已于 2023-08-25 16:58:16 修改
阅读量4.6k 收藏 9
点赞数 2
分类专栏: kafka安装及安全认证 文章标签: java 后端 kafka
于 2022-03-31 17:10:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43700739/article/details/123816688
版权

kafka安全认证sasl

一、环境

kafka_2.13-2.8.0,zookeeper-3.6.3(这里不是用kafka自带的zookeeper)

二、修改配置文件

1、zookeeper配置(三台操作一样)
(1)为zookeeper添加SASL支持,在conf下配置文件zoo.cfg添加

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

(2)conf下新建jaas.conf文件,为Zookeeper添加账号认证信息,具体位置不固定,只要后面zkEnv配置正确的路径就可以。

Server {
  org.apache.zookeeper.server.auth.DigestLoginModule required
  user_admin="kafka_zk"
  user_kafka="kafka_zk";
};

username和paasword是zk集群之间的认证密码。
user_kafka=“kafka_zk"定义了一个用户"kafka”,密码是"kafka_zk"。
(3)导入kafka的相关jar

kafka-clients-2.8.0.jar
lz4-java-1.7.1.jar
slf4j-api-1.7.30.jar
slf4j-log4j12-1.7.30.jar
snappy-java-1.1.8.1.jar

(4)修改 zkEnv.sh

SERVER_JVMFLAGS=" -Djava.security.auth.login.config=/data1/apache-zookeeper-3.6.3/conf/zk_server_jaas.conf "

2、kafka配置文件
(1)在config下增加kafka_server_jaas.conf

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin"
    user_admin="admin"
    user_kafka="kafka_zk";
};

Client {
  org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka"
    password="kafka_zk";
};

说明:KafkaServer中的username和password是用于节点间的连接认证,节点初始化连接到其他的节点,在上面配置中,admin用户为broker间的通讯使用的账号和密码。
user_userName定义了所有连接到 broker和 broker验证的所有的客户端连接包括其他 broker的用户密码,user_admin 表示的是用户名为admin,后面的双引号中表示为密码,在这里设置了两个账号,一个为admin,一个为kafka。在使用生产者和消费者连接kakfa的topic时,需要拿用户名和密码与这个做验证。也可以另外根据不同业务部门需求创建独立的账号密码。
Client中是kafka作为用户使用zk的认证信息,这里的username和password一定要和zk_server_jaas.conf的配置对的上。(由于这里不是用的自带的zookeeper,所以需要增加这部分配置,如果使用自带zookeeper,就不用配置)
(2)在config下增加kafka_client_jaas.conf

KafkaClient {
        org.apache.kafka.common.security.plain.PlainLoginModule required
        username="kafka"
        password="kafka_zk";
};

KafkaClient中的username和password是客户端用来配置客户端连接broker的用户使用,通俗来讲,该配置为生产者或者消费者连接kafka时需要用到的用户名和密码

(3)增加kafka_zoo_jaas.conf

Server {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    user_kafka="kafka_zk";
};

(4)修改server.properties配置文件

listeners=SASL_PLAINTEXT://ip:9092
security.inter.broker.protocol = SASL_PLAINTEXT
sasl.enabled.mechanisms = PLAIN
sasl.mechanism.inter.broker.protocol = PLAIN
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=true
advertised.listeners=SASL_PLAINTEXT://ip:9092
super.users=User:kafka

添加sasl认证说明

super.users=User:kafka 设置kafka为超级用户

(5)修改kafka启动脚本,在bin/kafka-server-start.sh中

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS kafka.Kafka "$@"

修改为

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=/usr/local/kafka_2.13-2.8.0/config/kafka_server_jaas.conf kafka.Kafka "$@"

启动kafka

配置kafka client端认证

在kafka安装目录config下创建kafka_client_jaas.conf,内容如下

KafkaClient {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="kafka"
  password="kafkapasswd";
};

修改producer脚本启动参数 vi kafka-console-producer.sh

exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleProducer "$@"

修改为

exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/data1/kafka_2.13-2.8.0/config/kafka_client_jaas.conf kafka.tools.ConsoleProducer "$@"

在kafka安装目录config下创建 sasl_client.conf 写入以下内容

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

同样的使用kafka-console-consumer.sh kafka-topics.sh 这些脚本都需要按照kafka-console-producer.sh 一样修改启动参数 指定sasl_client.conf配置文件
如创建topic 先修改kafka-topics.sh (本人为做此修改)

exec $(dirname $0)/kafka-run-class.sh  kafka.admin.TopicCommand "$@"
 
改为
 
exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/data1/kafka_2.13-2.8.0/config/kafka_client_jaas.conf  kafka.admin.TopicCommand "$@"
 
---------------------------------------------------------------------------
 
或者直接添加
export KAFKA_OPTS="-Djava.security.auth.login.config=/data1/kafka_2.13-2.8.0/config/kafka_client_jaas.conf"

创建topic

[root@FLMG-146 bin]# ./kafka-topics.sh --create --zookeeper ip1:2181,ip2:2181,ip3:2181 --replication-factor 1 --partitions 1 --topic test

启动命令zookeeper和kafka
(1)切换到zookeeper bin,目录下

./zkServer start

前台打印日志的方式启动

./zkServer.sh start-foreground

(2)kafka启动

./kafka-server-start.sh -daemon ../config/server.properties
ELFK+Kafka+Zookeeper企业级日志架构
作者的博客园已搬家到优快云,访问博客园主页将默认跳转至优快云
10-29 2272
文章目录ELFK+Kafka+Zookeeper企业级日志架构1.了解1)前言2)介绍3)采集插件2.应用场景与方案1.普通场景2.大型场景3.服务安装规划1)资金充足2)合理节省3.企业级ELFK日志架构搭建准备环境1)安装Docker服务2)安装JDK环境3)修复时区4)搭建要求1.数据采集层1)Nginx1> 配置2> 启动2)Filebeat1> 配置2> 启动2.数据处理层1)Zookeeper1> 配置2> 启动3> 检测集群状态4> 强制删除to
使用 Docker-Compose 部署 ZooKeeper + Kafka + Kafka-UI
种一棵树最好的时间是十年前,其次是现在。
05-04 2872
使用 Docker-Compose来部署 Kafak + Zookeeper,有密码与无密码配置,使用 Kafka-UI 来连接 Kafak 集群;
zookeeper开启SASL权限认证
cj_eryue的博客
07-25 4729
ZooKeeper 不使用任何形式的身份验证并允许匿名连接。但是,它支持 Java 身份验证与授权服务(JAAS),可用于使用简单身份验证和安全层(SASL)设置身份验证
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 3276
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_84968371的博客
05-16 2256
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
kafkazookeeper配置sasl认证
新之助的博客
06-05 8349
1:配置zookeeper zoo.cfg 增加以下配置: authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider requireClientAuthScheme=sasl jaasLoginRenew=3600000 quorum.auth.enableSasl=true # 打开sasl开关, 默认是关的 quorum.auth.learnerRequireSasl=true # ZK做为leaner的时候,
[zookeeper] SASL(Simple Authentication and Security Layer) 用户名密码认证配置
FaceFullofConfused的博客
07-12 6507
使用zookeeper zkCli.sh 连接 zookeeper服务时,默认裸连,晓得ip与端口之后即可连接zookeeper服务,本文使用SASL 用户名密码配置服务端与客户端,在zkCli连接前,服务端配置xxxjaas.conf保存用户名密码,客户端(也就是zkCli或者各种语言的sdk)连接时同样也需要xxxjaas.conf文件来进行认证
Kafka + zookeeper (ACL)安全认证及权限控制
JKjiang123的博客
05-13 7234
版本:kafka_2.12-2.4.1、apache-zookeeper-3.6.3-bin 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 ZookeeperSASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf 文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}...
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_84302369的博客
05-01 1797
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。
kafka集群开启sasl认证
cuigelasi的博客
03-25 2634
kafka集群开启sasl认证 sasl认证 sasl 是扩展C/S模式验证能力的一种认证机制。它可以规范客户端和服务端传输应答和传输内容编码,简而言之sasl决定了认证的规则,即客户端如何存储身份证书、客户端与服务端如何校验密码都由sasl决定。当我们的客户端通过校验,服务端便知晓客户端的身份,将赋给客户端相应的权限。 plain机制 sasl最常使用的认证机制就是plain。通过将用户名和密码以base64字符串(不加密)方式进行传输。 如果你需要更安全的传输,请结合TLS使用。 zookeeper
Zookeeper & Kafka 开启安全认证配置
IT布道
08-10 9306
Zookeeper&Kafka 安全认证
kafka开启sasl认证
atarik@163.com
02-28 2061
SASL/PLAIN认证机制开启方法: 修改Kafka配置文件 server.properties 或者其它名字(CDH和Ambari的发行版可能文件名有所差异) sasl.enabled.mechanisms = PLAIN sasl.mechanism.inter.broker.protocol = PLAIN security.inter.broker.protocol = SASL_P...
KafKa 开启 SASL 验证
41981DC的博客
08-12 2965
kafka 配置 sasl 权限认证
Mac 系统Kafka + Zookeeper SASL 配置
STEELY CHEN的专栏
10-09 2058
背景 最近听说Spark很火,于是开始学习Spark的相关知识,在学到Spark Streaming的时候无意中发现Kafka这个消费系统挺不错的,特别是关于它的日志压缩(log compaction) 和安全认证两个特性可以很好的用在公司的项目里。 SASL配置网上有很多,遇到的坑也不少,也要感谢提供正确指导的博主们,现整理一下自己的经验。大伙也可以根据官方文档来折腾h......
ambari-kafka 开启 sasl 认证
weixin_43545410的博客
12-25 1292
创建 kafka_server_jaas.conf vim /opt/kafka_server_jaas.conf #其中kafka为admin用户,格式:user_用户名="密码" KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="kafka" password="kafka-secret" user_kafka="kafka-secret" user_t
zookeeperkafka的安全认证机制SASL(动态)
Mr.理的博客
02-27 767
zookeeperkafka的安全认证机制SASL(动态)
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证
代码讲故事
10-13 1209
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证
kafka开启SASL认证后,如何配置连接zookeeper不使用SASL
最新发布
03-14
<think>嗯,用户的问题是关于在Kafka启用SASL认证时,如何配置ZooKeeper连接不使用SASL。我需要先理解他们的问题场景。可能的情况是,用户已经为Kafka配置SASL认证,但希望ZooKeeper保持不启用SASL,或者两者使用不同的认证机制。这个时候需要确保KafkaZooKeeper之间的连接不需要SASL。 首先,我需要回忆一下KafkaZooKeeper配置关系。Kafka作为分布式系统,通常依赖ZooKeeper来进行元数据管理和协调。在配置Kafka的安全机制时,ZooKeeper的安全配置通常是独立的,也就是说,KafkaSASL配置不一定影响ZooKeeper的连接。但用户可能遇到了问题,比如Kafka尝试用SASL连接ZooKeeper,而ZooKeeper并没有配置SASL,导致连接失败。 接下来,我需要查阅相关的配置参数。Kafka配置文件中,特别是server.properties,有关于ZooKeeper连接的参数,比如zookeeper.connect。如果用户希望禁用SASL,可能需要检查是否有与安全相关的参数被错误地应用到了ZooKeeper连接上。例如,是否在Kafka配置中设置了ZooKeeperSASL相关属性,如zookeeper.client.secure或者security相关的参数。 根据引用内容,引用[2]中提到了ZooKeeperKafkaSASL认证配置,其中Kafka的server.properties配置SASL_PLAINTEXT监听器,但并没有提到ZooKeeper配置是否需要同步修改。可能用户在这里误解了,认为KafkaSASL配置会自动应用到ZooKeeper,但实际上两者是分开的。 正确的做法应该是确保Kafka连接ZooKeeper时使用的是普通连接,而不是SASL。这时候需要检查Kafka配置中是否有与ZooKeeper安全相关的参数被设置。例如,zookeeper.client.config参数指定了ZooKeeper客户端的配置文件,如果这个文件中有SASL配置,就需要将其移除或设置为不使用SASL。 另外,KafkaZooKeeper客户端默认是不使用SASL的,除非显式配置。所以用户可能的问题是,在配置KafkaSASL时,错误地配置ZooKeeperSASL参数,导致连接失败。解决方法就是检查这些配置,并确保ZooKeeper连接使用的是普通的无认证方式。 同时,需要提醒用户,如果ZooKeeper本身启用了SASL,那么Kafka必须配置相应的参数来连接。但用户的问题正好相反,希望ZooKeeper不启用SASL,所以只需确保Kafka配置中没有为ZooKeeper启用SASL即可。 总结下来,步骤应该是:检查Kafka配置中的ZooKeeper相关参数,移除任何SASL设置,确保ZooKeeper连接使用普通协议,如PLAINTEXT,并且不需要SASL认证。同时,可能需要验证ZooKeeper本身的配置是否确实没有启用SASL,避免因为ZooKeeper服务端的问题导致连接失败。</think>在Kafka启用SASL认证时,若需要配置ZooKeeper连接不使用SASL,需通过以下步骤实现: ### 一、核心原理 KafkaZooKeeper认证配置相互独立。KafkaSASL认证通过`server.properties`实现,而ZooKeeper连接的安全性需通过**独立的客户端配置**控制。默认情况下,若未显式配置ZooKeeperSASL参数,Kafka将以普通明文协议连接ZooKeeper[^3]。 ### 、具体配置步骤 1. **保持ZooKeeper未启用SASL** - 确保ZooKeeper的`zoo.cfg`配置文件中未添加SASL相关参数(如`authProvider.*`或`requireClientAuthScheme`) 2. **修改KafkaZooKeeper客户端配置** 在Kafka的`server.properties`中**显式指定非SASL协议**: ```properties zookeeper.connect=plaintext://zk_host1:2181,plaintext://zk_host2:2181 ``` 3. **隔离ZooKeeper客户端配置** 创建独立的ZooKeeper客户端配置文件(如`zookeeper-client.properties`),内容为: ```properties zookeeper.sasl.client=false zookeeper.client.secure=false ``` 4. **启动Kafka时指定配置文件** ```bash KAFKA_OPTS="-Dzookeeper.client.config=/path/to/zookeeper-client.properties" ./bin/kafka-server-start.sh config/server.properties ``` ### 三、验证方法 通过ZooKeeper四字命令验证连接类型: ```bash echo stat | nc localhost 2181 | grep Mode ``` 若输出显示`Mode: standalone`且无SASL相关字段,说明连接未使用SASL[^2]。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值