kafka kerberos 认证访问与非认证访问共存下的ACL问题

最新推荐文章于 2025-01-24 00:20:57 发布
转载 最新推荐文章于 2025-01-24 00:20:57 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/550115
文章标签:

#大数据

在Kafka集群中引入Kerberos认证及ACL权限控制,解决非认证连接的权限问题,确保现有服务不中断。

在一个正在运行的kafka集群中添加kerberos认证和ACL权限控制,同时保证以前所有的producer\consumer服务不中断

解决方式: 使kafka集群监听两个端口,一个为无认证连接,另一个为kerberos的认证连接

这时候在配置ACL的时候出了问题:

假如我以kerberos认证的方式连接kafka集群,那么我的用户名是principal的primary部分。例如principal是  kafka/master@HZ.DATA.COM ,那么我的用户名就是kafka。 这时候我只要给kafka这个用户配置相应的权限就可以了。

但是当我以非认证的方式连接kafka集群的时候,我会得到以下的错误:

1
2
[WARN ] 16 : 06 : 55 , 440 , [Class]NetworkClient, Error  while  fetching metadata with correlation id  1  : {test=UNKNOWN_TOPIC_OR_PARTITION}
org.apache.kafka.common.errors.TopicAuthorizationException: Not authorized to access topics: [test]


或者在console-producer中的错误如下:

1
2
3
4
5
[ 2017 - 08 - 22  15 : 17 : 27 , 576 ] WARN Error  while  fetching metadata with correlation id  2  : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)
[ 2017 - 08 - 22  15 : 17 : 27 , 685 ] WARN Error  while  fetching metadata with correlation id  4  : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)
[ 2017 - 08 - 22  15 : 17 : 27 , 787 ] WARN Error  while  fetching metadata with correlation id  6  : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)
[ 2017 - 08 - 22  15 : 17 : 27 , 890 ] WARN Error  while  fetching metadata with correlation id  7  : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)
[ 2017 - 08 - 22  15 : 17 : 27 , 993 ] WARN Error  while  fetching metadata with correlation id  8  : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)


原因: 一旦为kerberos的用户针对某个资源(比如topic)配置ACL之后,那么对于非认证方式访问的时候因为没有权限所以访问不到对应的数据。

解决方法: 将kafka集群的日志设为debug级别后重启,可以看到非认证方式访问kafka集群时的用户为ANONYMOUS


                  1、给 ANONYMOUS配置相应的权限即可

                  2、每一个topic都要为 ANONYMOUS设置权限毕竟不方便, 可以将ANONYMOUS设为super.users










本文转自 落花非有意  51CTO博客,原文链接:http://blog.51cto.com/1992zhong/1958387,如需转载请自行联系原作者
Debezium错误处理系列:主题授权异常:无权访问主题
XbtoMemory的博客
09-23 1818
确保配置文件中的"security.protocol"、“ssl.truststore.location”、"ssl.truststore.password"等属性与Kafka集群的安全配置相匹配。确保正确配置Kafka主题的访问权限、授权策略和安全认证,以确保Debezium能够正常访问所需的主题。如果在Kafka集群上启用了授权策略,则需要配置正确的授权策略,以允许Debezium访问所需的主题。确保Debezium连接到正确的Kafka集群,并且可以成功访问所需的主题。如有其他问题,请随时提问。
Kerberos安全认证-连载12-Kafka Kerberos安全配置及访问
qq_32020645的博客
06-22 4892
技术连载系列,前面内容请参考前面连载11内容:​​​​​​​​​​​​​​Kafka也支持通过Kerberos进行认证,避免非法用户操作读取Kafka中的数据,对Kafka进行Kerberos认证可以按照如下步骤实现。在kerberos服务端node1节点执行如下命令将Kafka服务主体写入到keytab文件。
kafka集群安全化之启用kerberosacl
CarbonDioxide12138的博客
03-25 5053
一、背景在我们部署完kafka之后,虽然我们已经可以“肆意”的用kafka了,但是在一个大公司的实际生产环境中,kafka集群往往十分庞大,每个使用者都应该只关心自己所负责的Topic,并且对其他人所使用的Topic没有权限。这样一来可以将资源隔离开来,二来可以防止误操作。在权限控制之前,我们必须要启用的就是用户认证,没有用户,自然没有权限一说了。二、kafka启用kerberos认证2.1 在K...
Flink读写kafka表报错集锦
weixin_47114055的博客
08-17 1845
##一、 报错字段:RowTime field should not be null, please convert it to a non-null long value. 原因:DDL里面的字段名称和kafka传过来的json中的key名称没有对应上(注意时间戳处理函数是否可用(是否除以1000),官网不一定准确,可以测试一下,会导致字段不匹配)。 解决方案:认真检查DDL中字段,字段没有问题,考虑怀疑有关的函数使用,确保和kafka中的json的key名称一致。 ##二、 报错字段:KeeperErr
Kafka SASL安全认证机制与ACL用户权限控制
weixin_38251332的博客
04-20 5545
概述 自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能,以提高kafka集群的安全性。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。 认证 Kafka SASL的认证范围包含如下: Client与Broker之间 Broker与Broker之间...
kafka 配置kerberos安全认证
01-28
### Kafka配置Kerberos安全认证详解 #### 一、引言 Kafka 是一款高性能的消息队列服务,广泛应用于大数据处理领域。为了保障数据的安全性和完整性,Kafka 提供了多种安全认证机制,其中 Kerberos 认证是一种非常...
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
Kafka-配置Kerberos安全认证(JDK8、JDK11)_kafka kerberos认证
2401_84264583的博客
04-26 952
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
Debezium报错处理系列之六十七:TopicAuthorizationException: Not authorized to access topics
zhengzaifeidelushang的博客
05-27 2491
Debezium报错处理系列之六十七:TopicAuthorizationException: Not authorized to access topics
Kafka ACL使用实战
weixin_34252686的博客
08-17 733
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL;认证机制主要是指配置SASL,...
Kafka常见错误及解决办法
热门推荐
yiweiyi329的博客
09-24 4万+
1、报错信息: org.apache.kafka.clients.consumer.OffsetOutOfRangeException: Offsets out of range with no configured reset policy for partitions: {qukan_log_v3-198=2289560518} 报错原因:当消费者消费offset大于或小于当前kafka集...
kafka创建topic报错ERROR org.apache.kafka.common.errors.InvalidReplicationFactorException
weixin_42507750的博客
03-03 9637
kafka创建topic报错ERROR org.apache.kafka.common.errors.InvalidReplicationFactorException 在kafka创建topic中输入以下命令 bin/kafka-topics.sh --zookeeper node01:2181 --create --replication-factor 3 --partitions 1 --topic first 报错 ERROR org.apache.kafka.common.errors
每日学习Redis——拿捏Redis中的通用指令(键和数据库通用指令)_m_redis->del(keyresult); m_redis->del(keytask)
2401_84170623的博客
04-29 753
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!pics/618545628)**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、
Kafka ssl 配置
u013887254的专栏
11-24 2427
Kafka SSL配置说明 所有配置主要参考官网文档。部分openssl操作可以参考:https://blog.youkuaiyun.com/bbwangj/article/details/82503675这篇文章介绍。实际不需要记那么多。 操作 下载kafka_2.12-2.3.0并解压 macBook:kafka_2.12-2.3.0 nobleyd$ pwd /Applications/so...
Kafka常见问题Kafka 报错:org.apache.kafka.common.errors.TimeoutException: Topic topic not present in metad
最新发布
王多鱼的梦想
01-24 3546
错误通常由主题不存在、网络问题或配置不当引起。通过检查主题状态、优化客户端配置以及确保网络连通性,可以有效解决该问题。建议提前创建主题,并优化客户端和 Broker 配置,以减少此类错误的发生概率。该错误表明 Kafka 客户端(生产者或消费者)在尝试与 Kafka Broker 通信时,未能在指定时间内(默认 60 秒)获取到指定主题的元数据。元数据包含主题的分区、Leader 等信息。如果主题元数据不可用或不存在,该请求会超时并报出。
Kafka 安全认证及权限控制
小王是个弟弟
07-20 1万+
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
在需要 ClientId 鉴权的 Kafka 集群中,高效使用 Producer 和 Consumer 的方法
gelaozideha的博客
09-08 1323
ClientId 在 Kafka 中主要用于标识和管理客户端应用程序,以及为监控、日志记录和资源管理提供支持。通过为每个客户端分配唯一的 ClientId,你可以更好地跟踪和管理 Kafka 集群中的各个客户端连接。然而在某些公司,ClientId 是用于鉴权和限流的,因此在使用 Kafka 时需要确保 ClientId 与申请 Topic 时的 ClientId 保持一致。
Kafka集成Kerberos
m0_47139984的博客
03-06 1725
Kafka集成Kerberos
kafka kerberos认证
11-28
Kafka Kerberos认证Kafka消息队列系统中一种安全认证机制,用于确保Kafka集群中的通信和数据传输的安全性。 Kafka是一个分布式的高吞吐量消息队列系统,可以用于实现实时数据流处理和消息传递。为了保护Kafka集群免受未授权的访问和攻击,Kafka提供了多种安全认证机制,其中之一就是Kerberos认证Kerberos是一种强大的网络认证协议,用于客户端和服务端之间的身份验证和数据传输的加密。Kerberos特别适合于分布式系统,因为它可以使用户在多个系统中共享认证凭证。 Kafka Kerberos认证的工作原理如下: 1. 客户端将请求发送到Kafka集群中的任意一个Broker。 2. Broker发送Kerberos令牌请求给Kerberos认证中心(KDC)。 3. KDC对Broker和客户端进行身份验证,并颁发令牌。 4. Broker将令牌发送回客户端。 5. 客户端使用令牌进行身份验证,并将请求再次发送到Broker,以获取或发送消息。 通过使用Kerberos认证Kafka可以确保只有经过身份验证的客户端能够连接和与Kafka集群进行通信。这种认证机制可以有效防止未授权的访问和数据泄露风险。同时,Kerberos认证还增加了数据传输的安全性,通过对传输的数据进行加密,防止数据被窃听或篡改。 总而言之,Kafka Kerberos认证是一种在Kafka消息队列系统中确保安全通信和数据传输的有效机制,它通过Kerberos认证和加密技术,实现了身份验证和数据传输的安全性。这可以帮助用户建立安全可靠的消息传递系统,并保护集群免受未授权访问和数据泄露的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值