kafka集群、单机 开启Sasl_Scram认证

最新推荐文章于 2025-04-18 17:51:02 发布
最新推荐文章于 2025-04-18 17:51:02 发布
阅读量1.9k 收藏 49
点赞数 45
文章标签: kafka 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_48055770/article/details/144179942
版权

一、开启zookeeper的SASL认证模式

修改zookeeper配置文件zoo.cfg,添加认证文件

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl

创建zookeeper认证文件

修改配置文件zookeeper_jaas.conf命令把下面的内容粘贴进去

Server {
org.apache.zookeeper.server.auth.DigestLoginModule required
user_super="super1234"
user_kafka="kafka1234";
};

这里要对这两个参数说明一下:user_super="super1234"这句配置的是超级用户,在Zookeeper里面超级用户默认就是super,后面引号里设置的则是它的密码super1234。因此下面的user_kafka="kafka1234"设置的是Kafka连接Zookeeper要用的账户和密码,这个账户和密码在后面Kafka的配置中还要用,请先记住这点。其意思就是,一个叫做kafka的账户名,密码是kafka1234。前面的user_就是为了识别这个配置是一个账户名用的。

启动zookeeper时需要加载认证文件

需要注意认证文件路径是否正确

export JVMFLAGS="-Djava.security.auth.login.config=/usr/local/zookeeper-3.4.14/conf/zookeeper_jaas.conf -Dzookeeper.4lw.commands.whitelist=*"

启动zookeeper

./zkServer.sh start &

查看状态

./ zkServer.sh status

二、kafka集群的SASL认证模式修改

修改kafak配置文件

listeners=SASL_PLAINTEXT://hostname:9092,SASL_SSL://hostname:9093

#############     SASL/SCRAM相关配置如下    ############

#Broker内部联络使用的security协议
security.inter.broker.protocol=SASL_PLAINTEXT

#Broker内部联络使用的sasl协议,这里也可以配置多个,比如SCRAM-SHA-512,SCRAM-SHA-256并列使用
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-512

#Broker允许使用的sasl协议,这里也可以配多个PLAIN,SCRAM-SHA-512,SCRAM-SHA-256
sasl.enabled.mechanisms=PLAIN,SCRAM-SHA-512

#设置zookeeper是否使用ACL
#zookeeper.set.acl=true

#设置ACL类(高于 2.4.0 版本推荐使用 AclAuthorizer此处我们使用SimpleAclAuthorizer)
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

#设置Kafka超级用户账号,这两个分别对应zookeeper_jaas.conf中的user_super="super1234"和user_kafka="kafka1234";
super.users=User:admin;User:kafka

创建kafka认证文件(每个节点)

在kafka配置目录config下 vi kafka-broker-jaas.conf创建一个认证文件,粘贴下面内容。

KafkaServer {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin1234";
};
Client {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    username="kafka"
    password="kafka1234";
};

KafkaServer这里配置的是Kafka服务器本身的超级账户admin和其密码,使用的是ScramLoginModule模式,。直接使用这个超级账户登陆,整个Kafka集群就相当于对你打开了大门。后面配置的Client是用来登陆Zookeeper使用的,也就是上面我们配置到zookeeper_jaas.conf 文件中的user_kafka="kafka1234"一行所对应的,这里看到登陆Zookeeper要用的账户就是kafka,密码就是kafka1234

加载配置文件(每个节点) 可以写进启动脚本里面

可以直接执行下面的命令 加载环境变量

export KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/kafka_2.11-2.2.0/config/kafka-broker-jaas.conf"

不加载配置文件就会出现如下报错

在这里插入图片描述

给zookeeper中添加超级用户(一个节点执行即可)

这一步不需要启动kafka因为数据都是存在zookeeper中的
在kafka的bin目录下执行

sh kafka-configs.sh --zookeeper 192.168.100.100:2181,192.168.100.100:2181,192.168.100.100:2181 --alter --add-config 'SCRAM-SHA-512=[password=admin1234]' --entity-type users --entity-name admin

出现如下信息说明添加成功
添加用户之前一定要加载上面的zookeeper认证文件
在这里插入图片描述

启动kafka集群

./kafka-server-start.sh ../config/server.properties &

看日志无报错即可

验证SASL是否开启成功

声明环境变量改文件中设置了zooekpeer通信用户以及kafka超级用户

export KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/kafka_2.11-2.2.0/config/kafka-broker-jaas.conf"

创建名为test密码为123456的用户

./kafka-configs.sh  --zookeeper  192.168.100.100:2181 --alter --add-config 'SCRAM-SHA-512=[password=123456]' --entity-type users --entity-name test

出现Completed Updating config for entity: user-principal ‘test’.则为新增成功

在kafka的config目录下新建 admin.conf 和 test.conf 配置文件

vi admi.config

#因为配置了SSL所以需要配置加密认证文件
security.protocol=SASL_SSL
ssl.truststore.location=/opt/ssl/client.truststore.jks
ssl.truststore.password=123456
ssl.endpoint.identification.algorithm=
#下面用户名密码改为现场
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin1234";

vi test.conf

security.protocol=SASL_SSL
ssl.truststore.location=/opt/ssl/client.truststore.jks
ssl.truststore.password=123456
#这里为啥什么都不配下面有解释
ssl.endpoint.identification.algorithm=
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="test" password="123456";

通过admin.conf使用超级管理员连接kafka可以查看topic 使用普通未授权的用户无法查看到topic,通过指定用户配置文件指定用户连接

./kafka-topics.sh --list  --bootstrap-server  192.168.100.100:9093 --command-config ../config/admin.conf

未授权用户执行则无法查看topic

./kafka-topics.sh --list  --bootstrap-server  192.168.100.100:9093 --command-config ../config/test.conf

给test用户授权生产者权限

./kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.100.100:2181 --add --allow-principal User:"test" --producer --topic 'testtopic'

给test用户授权消费者权限

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.100.100:2181 --add --allow-principal User:"testuc" --consumer --topic 'testtopic' --group '*'

kafka相关指令说明
在这里插入图片描述

三kafka常见报错处理

1、证书不对
当使用一台服务器上的jks证书访问另一台kafka节点而不是集群的话或报错
报错截图
在这里插入图片描述解决方式 使用集群连接地址
111

kafka相关参数说明
在这里插入图片描述
相关参考地址

http://kafka.apache.org/documentation/#security_authz_cli
https://blog.youkuaiyun.com/lijingjingchn/article/details/85126537
https://blog.youkuaiyun.com/qq_33887096/article/details/114532608’

Kafka部署指南:SASL_SCRAM/SSL认证的ACL权限控制
DeoSql的博客
09-18 211
在本篇文章中,我们提供了一个详细的Kafka部署指南,重点介绍了如何使用SASL_SCRAM/SSL认证来实现ACL权限控制。我们涵盖了安装和配置Kafka、生成SSL证书和密钥、配置SSL认证、配置SASL_SCRAM认证以及配置ACL权限控制的步骤。在本篇文章中,我们将为您提供一个详细的Kafka部署指南,重点介绍如何使用SASL_SCRAM/SSL认证来实现ACL权限控制。我们将提供相应的源代码和步骤,帮助您完成Kafka的安装和配置。接下来,我们将生成SSL证书和密钥,用于Kafka的SSL认证
Kafka部署指南:基于SSL的SASL_SCRAM安全认证实现
WdzDevops的博客
09-17 239
本文将详细介绍如何使用SSL和SASL_SCRAM机制来保护Kafka集群的安全,并提供相应的源代码示例。以上就是基于SSL的SASL_SCRAM安全认证实现的Kafka部署全攻略。通过SSL证书和SASL_SCRAM机制,可以确保Kafka集群与客户端之间的通信安全和认证。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际路径,并提供正确的密码。
Kafka部署全攻略——Kafka SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 922
Kafka SASL_SCRAM安全认证实现
kafka集群开启sasl认证
cuigelasi的博客
03-25 2663
kafka集群开启sasl认证 sasl认证 sasl 是扩展C/S模式验证能力的一种认证机制。它可以规范客户端和服务端传输应答和传输内容编码,简而言之sasl决定了认证的规则,即客户端如何存储身份证书、客户端与服务端如何校验密码都由sasl决定。当我们的客户端通过校验,服务端便知晓客户端的身份,将赋给客户端相应的权限。 plain机制 sasl最常使用的认证机制就是plain。通过将用户名和密码以base64字符串(不加密)方式进行传输。 如果你需要更安全的传输,请结合TLS使用。 zookeeper 之
Kafka安全认证技术:SASL/SCRAM-ACL方案详解
最新发布
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
04-18 1072
Kafka安全认证技术:SASL/SCRAM-ACL方案详解
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 3355
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
Kafka配置SASL认证
Healer_银尘的博客
07-12 1615
在本博客中我们使用SASL/PLAIN的方式来进行Kafka加密。
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_84968371的博客
05-16 2416
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
ambari-kafka 开启 sasl 认证
weixin_43545410的博客
12-25 1312
创建 kafka_server_jaas.conf vim /opt/kafka_server_jaas.conf #其中kafka为admin用户,格式:user_用户名="密码" KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="kafka" password="kafka-secret" user_kafka="kafka-secret" user_t
Kafka部署全攻略——基于SASL_SCRAM/SSL认证的ACL权限控制
bbsxb520的博客
06-28 366
基于SASL_SCRAM/SSL认证的ACL权限控制
Kafka部署全攻略——基于SSL的SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 651
基于SSL的SASL_SCRAM安全认证实现
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192
kafka安装部署-前面部分
wt6002的博客
09-03 456
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
Kafka2.7.2中进行SASL_SCRAM认证配置
u010782920的博客
10-31 958
kafkasaslscram安装 调试
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 3168
zookeeper和kafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
Kafka 配置 SASL 认证
CvhShell的博客
09-21 903
通过按照这些步骤进行配置,你将能够在 Kafka 中启用 SASL 认证,并使用认证后的生产者和消费者进行消息传递。这个示例创建了一个 Kafka 生产者,并将消息发送到一个名为 “my-topic” 的主题中。这个示例创建了一个 Kafka 消费者,并从名为 “my-topic” 的主题中接收消息。在本文中,我们将详细介绍如何在 Kafka 中配置 SASL 认证。现在,你可以启动 Kafka 服务器,并应用配置的 SASL 认证。下面是使用 SASL 认证Kafka 生产者和消费者的代码示例。
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2414
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
kafka开启sasl认证
atarik@163.com
02-28 2085
SASL/PLAIN认证机制开启方法: 修改Kafka配置文件 server.properties 或者其它名字(CDH和Ambari的发行版可能文件名有所差异) sasl.enabled.mechanisms = PLAIN sasl.mechanism.inter.broker.protocol = PLAIN security.inter.broker.protocol = SASL_P...
kafka sasl/scram
01-25
### Kafka SASL/SCRAM 认证机制配置与最佳实践 #### 1. SASL/SCRAM 认证概述 Kafka 支持多种安全协议来保护集群通信的安全性,其中SASL/SCRAM是一种常用的认证方式。通过这种方式可以增强客户端到服务器以及代理之间的身份验证安全性[^1]。 #### 2. 配置服务端参数 为了启用SASL/SCRAM,在Kafka Broker上需要修改`server.properties`文件并添加如下设置: ```properties listeners=SASL_PLAINTEXT://:9092 sasl.enabled.mechanisms=SCRAM-SHA-256,SCRAM-SHA-512 security.inter.broker.protocol=SASL_PLAINTEXT listener.name.sasl_plaintext.scram-sha-256.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required; listener.name.sasl_plaintext.scram-sha-512.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required; ``` 这些属性定义了监听器类型、允许使用的散列算法(SHA-256 或 SHA-512),以及内部代理间通讯所采用的身份验证方法。 #### 3. 创建用户凭证 接下来要创建用于连接Kafka的用户名及其对应的密码哈希值。这可以通过执行Zookeeper命令完成: ```bash bin/kafka-configs.sh --zookeeper localhost:2181 \ --alter --add-config 'SCRAM-SHA-256=[password=<your_password>],SCRAM-SHA-512=[password=<your_password>]' \ --entity-type users --entity-name your_username ``` 上述脚本会向指定名称的用户添加两种不同强度级别的SCRAM密钥。 #### 4. 设置客户端配置 对于Windows 11环境下的Kafka客户端而言,则需编辑位于`\kafka2.12.3.8.0\config\client.properties`路径下相应的配置文件,并加入必要的选项以支持SASL/SCRAM认证模式[^2]: ```properties bootstrap.servers=localhost:9092 security.protocol=SASL_PLAINTEXT sasl.mechanism=SCRAM-SHA-256 sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="your_username" password="<your_password>"; ``` 这里指定了引导服务器地址、安全协议种类、具体选用哪种散列函数作为协商机制,还有最重要的JAAS登录模块配置字符串,它包含了实际参与鉴权过程中的账号信息。 #### 5. 测试连接 最后一步就是尝试发送消息测试整个流程是否正常工作。如果一切顺利的话,应该能够成功建立带有SASL/SCRAM保护措施的数据传输通道。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值