KafKa 开启 SASL 验证

浅梦深蓝

已于 2022-08-12 18:19:07 修改

阅读量2.9k

点赞数 1

文章标签： kafka java 分布式

于 2022-08-12 18:06:32 首次发布

本文链接：https://blog.youkuaiyun.com/weixin_36908494/article/details/126308907

版权

本文档详述了在Kafka 2.1.2版本中启用SASL权限认证的步骤，包括配置Kafka Broker相互认证的账号密码、设置JAAS配置文件路径、更新service.properties以及配置Kafka Client（生产者和消费者）的相关参数。内容覆盖了从Kafka Server到Client的全链路SASL认证配置。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

项目需要使用kafka的 sasl 权限认证，记录一下kafka的配置。
参考自 Kafka 中文文档

注：本文kafka版本是2.1.2，安装目录是 /user/local/kafka2.1.1 。

注：SASL验证：Simple Authentication and Security Layer（简单的认证及安全层）

1.配置 Kafka Broker 相互认证所需的账号密码。

在 kafka 的 config 目录下，新建 kafka_server_jaas.conf 文件，并写入以下内容。

    KafkaServer {
   
     org.apache.kafka.common.security.plain.PlainLoginModule required
     username="admin"
     password="admin-secret"

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

浅梦深蓝

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

（二）Kafka 安全之使用 SASL 进行身份验证 —— SASL/Kerberos 验证

流华追梦的专栏

06-25

1295

接上一篇《（一）Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置》，本文从第四节开始。

kafka安装部署-前面部分

wt6002的博客

09-03

456

step 1: 下载代码你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务运行kafka需要使用Zookeeper，所以你需要先启动Zookeeper，如果你没有Zookeeper，你可以使用kafka自带打包和配置好的Zookeeper（PS：在kafka包里）。在和kafka一个目录bin文件夹下面; //这是前台启动，启动以后，当前就无法进行其他操作（不推.

参与评论您还未登录，请先登录后发表或查看评论

Apache zookeeper kafka 开启SASL安全认证

heming20122012的专栏

03-13

3355

Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发，支持多语言（如Java、Python、Go等）客户端，它可以水平扩展和具有高吞吐量特性而被广泛使用，并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比，Kafka能够更好的处理活跃的流数据，让数据在各个子系统中高性能、低延迟地不停流转。

Kafka安全认证技术：SASL/SCRAM-ACL方案详解

最新发布

虽非技冠群英首，愿与同道共长歌；大鹏一日同风起，扶摇直上九万里；

04-18

1072

Kafka安全认证技术：SASL/SCRAM-ACL方案详解

Kafka配置SASL认证

Healer_银尘的博客

07-12

1615

在本博客中我们使用SASL/PLAIN的方式来进行Kafka加密。

Apache zookeeper kafka 开启SASL安全认证_kafka开启认证

2401_84968371的博客

05-16

2416

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

kafka 集群sasl认证_kafka集群开启sals认证

2401_84182146的博客

04-11

313

这里 username 配置的用户为内部认证使用user_admin 为用户级别，admin 是用户，admin123是密码,测试密码不一致会报错2.修改启动配置3.修改kafka 配置文件 server.properties。

kafka集群开启sasl认证

cuigelasi的博客

03-25

2663

kafka集群开启sasl认证 sasl认证 sasl 是扩展C/S模式验证能力的一种认证机制。它可以规范客户端和服务端传输应答和传输内容编码，简而言之sasl决定了认证的规则，即客户端如何存储身份证书、客户端与服务端如何校验密码都由sasl决定。当我们的客户端通过校验，服务端便知晓客户端的身份，将赋给客户端相应的权限。 plain机制 sasl最常使用的认证机制就是plain。通过将用户名和密码以base64字符串（不加密）方式进行传输。如果你需要更安全的传输，请结合TLS使用。 zookeeper 之

Kafka配置SASL认证密码登录_kafka 开启sasl 用户名密码

2401_84166376的博客

04-08

1169

外链图片转存中…(img-ZhynZwrR-1712526786918)]

KAFKA权限配置SASL/PLAIN身份验证

01-07

zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192

Apache zookeeper kafka 开启SASL安全认证 —— 筑梦之路

筑梦之路

08-23

5182

kafka开启sasl认证

atarik@163.com

02-28

2085

SASL/PLAIN认证机制开启方法：修改Kafka配置文件 server.properties 或者其它名字（CDH和Ambari的发行版可能文件名有所差异） sasl.enabled.mechanisms = PLAIN sasl.mechanism.inter.broker.protocol = PLAIN security.inter.broker.protocol = SASL_P...

ambari-kafka 开启 sasl 认证

weixin_43545410的博客

12-25

1312

创建 kafka_server_jaas.conf vim /opt/kafka_server_jaas.conf #其中kafka为admin用户，格式：user_用户名="密码" KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="kafka" password="kafka-secret" user_kafka="kafka-secret" user_t

Kafka 开启SASL/SCRAM认证及 ACL授权（一）认证

代码讲故事

10-13

1275

Kafka 开启SASL/SCRAM认证及 ACL授权（一）认证。

Kafka 配置 SASL 认证

CvhShell的博客

09-21

903

通过按照这些步骤进行配置，你将能够在 Kafka 中启用 SASL 认证，并使用认证后的生产者和消费者进行消息传递。这个示例创建了一个 Kafka 生产者，并将消息发送到一个名为 “my-topic” 的主题中。这个示例创建了一个 Kafka 消费者，并从名为 “my-topic” 的主题中接收消息。在本文中，我们将详细介绍如何在 Kafka 中配置 SASL 认证。现在，你可以启动 Kafka 服务器，并应用配置的 SASL 认证。下面是使用 SASL 认证的 Kafka 生产者和消费者的代码示例。

Kafka安全认证机制详解之SASL_PLAIN

空城的博客

01-02

3763

上面配置是新增了两个用户，admin和tly，这两个用户都是普通用户，KafkaServer中的username、password配置的用户和密码，是用来broker和broker连接认证。在本例中，admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了，使用admin.conf可以创建，因为admin账号和配置的超级管理员一致；使用权限配置并且超级用户是admin，这个用户和我们上面配置的列表中的admin用户相互映射，每个机器都需要配置然后重启所有节点。

kafka 集群sasl认证

weixin_42490799的博客

02-19

758

kafka 集群sasl认证

kafka开启SASL认证后，如何配置连接zookeeper不使用SASL

03-14

<think>嗯，用户的问题是关于在Kafka启用SASL认证时，如何配置ZooKeeper连接不使用SASL。我需要先理解他们的问题场景。可能的情况是，用户已经为Kafka配置了SASL认证，但希望ZooKeeper保持不启用SASL，或者两者使用不同的认证机制。这个时候需要确保Kafka与ZooKeeper之间的连接不需要SASL。首先，我需要回忆一下Kafka和ZooKeeper的配置关系。Kafka作为分布式系统，通常依赖ZooKeeper来进行元数据管理和协调。在配置Kafka的安全机制时，ZooKeeper的安全配置通常是独立的，也就是说，Kafka的SASL配置不一定影响ZooKeeper的连接。但用户可能遇到了问题，比如Kafka尝试用SASL连接ZooKeeper，而ZooKeeper并没有配置SASL，导致连接失败。接下来，我需要查阅相关的配置参数。Kafka的配置文件中，特别是server.properties，有关于ZooKeeper连接的参数，比如zookeeper.connect。如果用户希望禁用SASL，可能需要检查是否有与安全相关的参数被错误地应用到了ZooKeeper连接上。例如，是否在Kafka的配置中设置了ZooKeeper的SASL相关属性，如zookeeper.client.secure或者security相关的参数。根据引用内容，引用[2]中提到了ZooKeeper和Kafka的SASL认证配置，其中Kafka的server.properties配置了SASL_PLAINTEXT监听器，但并没有提到ZooKeeper的配置是否需要同步修改。可能用户在这里误解了，认为Kafka的SASL配置会自动应用到ZooKeeper，但实际上两者是分开的。正确的做法应该是确保Kafka连接ZooKeeper时使用的是普通连接，而不是SASL。这时候需要检查Kafka的配置中是否有与ZooKeeper安全相关的参数被设置。例如，zookeeper.client.config参数指定了ZooKeeper客户端的配置文件，如果这个文件中有SASL配置，就需要将其移除或设置为不使用SASL。另外，Kafka的ZooKeeper客户端默认是不使用SASL的，除非显式配置。所以用户可能的问题是，在配置Kafka的SASL时，错误地配置了ZooKeeper的SASL参数，导致连接失败。解决方法就是检查这些配置，并确保ZooKeeper连接使用的是普通的无认证方式。同时，需要提醒用户，如果ZooKeeper本身启用了SASL，那么Kafka必须配置相应的参数来连接。但用户的问题正好相反，希望ZooKeeper不启用SASL，所以只需确保Kafka的配置中没有为ZooKeeper启用SASL即可。总结下来，步骤应该是：检查Kafka配置中的ZooKeeper相关参数，移除任何SASL设置，确保ZooKeeper连接使用普通协议，如PLAINTEXT，并且不需要SASL认证。同时，可能需要验证ZooKeeper本身的配置是否确实没有启用SASL，避免因为ZooKeeper服务端的问题导致连接失败。</think>在Kafka启用SASL认证时，若需要配置ZooKeeper连接不使用SASL，需通过以下步骤实现： ### 一、核心原理 Kafka与ZooKeeper的认证配置相互独立。Kafka的SASL认证通过`server.properties`实现，而ZooKeeper连接的安全性需通过**独立的客户端配置**控制。默认情况下，若未显式配置ZooKeeper的SASL参数，Kafka将以普通明文协议连接ZooKeeper[^3]。 ### 二、具体配置步骤 1. **保持ZooKeeper未启用SASL** - 确保ZooKeeper的`zoo.cfg`配置文件中未添加SASL相关参数（如`authProvider.*`或`requireClientAuthScheme`） 2. **修改Kafka的ZooKeeper客户端配置** 在Kafka的`server.properties`中**显式指定非SASL协议**： ```properties zookeeper.connect=plaintext://zk_host1:2181,plaintext://zk_host2:2181 ``` 3. **隔离ZooKeeper客户端配置** 创建独立的ZooKeeper客户端配置文件（如`zookeeper-client.properties`），内容为： ```properties zookeeper.sasl.client=false zookeeper.client.secure=false ``` 4. **启动Kafka时指定配置文件** ```bash KAFKA_OPTS="-Dzookeeper.client.config=/path/to/zookeeper-client.properties" ./bin/kafka-server-start.sh config/server.properties ``` ### 三、验证方法通过ZooKeeper四字命令验证连接类型： ```bash echo stat | nc localhost 2181 | grep Mode ``` 若输出显示`Mode: standalone`且无SASL相关字段，说明连接未使用SASL[^2]。