在0.9版本之后,kafka 增加了身份认证和权限控制 两种安全机制。

身份认证:指客户端与服务端连接进行身份认证;包括 客户端与kafka代理之间、代理与代理之间、代理与zookeeper之间的连接认证;目前支持 SSL 、 SASL/Kerberos 、SASL/PLAIN 这3种认证机制;

权限控制:指对客户端的读写操作进行权限控制。

1、利用 SASL/PLAIN 进行身份认证:

  1)修改 server.properties 文件,开启 SASL认证配置:

    listeners=SASL_PLAINTEXT://0.0.0.0:9092  #配置一个SASL端口

    security.inter.broker.protocol=SASL_PLAINTEXT  #设置代理之间通信协议

    sasl.enable.mechanisms=PLAIN  #启用SASL机制

    sasl.mechanism.inter.broker.protocol=PLAIN  #配置SASL机制

  2)创建服务端JAAS文件,配置PLAIN:

    在config目录下创建一个名为 kafka_server_jaas.conf 的文件,然后文件内容为: 

      KafkaServer {
        org.apache.kafka.common.security.plain.PlainLoginModule required
        username="kafka"
        password="kafkapswd"
        user_kafka="kafkapswd"
        user_morton="mortonpswd"
      }

    username 和 password 指定该代理与集群中其他代理初始化连接的用户名和密码;

    通过以 "user_"为前缀后接用户名的方式创建连接代理的用户名和密码。

  3)创建和配置客户端JAAS文件:

    在config目录下创建一个名为 kafka_client_jaas.conf 的文件,然后文件内容为:

      KafkaClient {
        org.apache.kafka.common.security.plain.PlainLoginModule required
        username="morton"
        password="mortonpswd"
      }

  4)将JAAS配置文件加入相应的配置文件:

    修改 kafka-server-start.sh 脚本,在该脚本中引入服务端 JAAS 文件: 

      if [ "x$KAFKA_OPTS" = "x" ]; then
        export KAFKA_OPTS="-DJava.security.auth.login.config=../config/kafka_server_jaas.config"
      fi

    修改 kafak-console-producer.sh 和 kafka-console-consumer.sh 甲苯,在该脚本中引入客户端 JAAS 文件

      if [ "x$KAFKA_OPTS" = "x" ]; then
        export KAFKA_OPTS="-DJava.security.auth.login.config=../config/kafka_client_jaas.config"
      fi

  5)启动服务端、生产者 和 消费者:

    kafka-server-start.sh --deamon ../config/server.properties

    kafka-console-producer.sh --broker-list localhost:9092 --topic kafka-action --producer-property security.protocol=SASL_PLAINTEXT --producer-property sasl.mechanism=PLAIN

    kafka-console-consumer.sh --bootstrap-server localhost:9092 topic kafka-action --consumer.property security.protocol=SASL_PLAINTEXT --consumer.property sasl.mechanism=PLAIN

 

2、权限控制

  kafka 提供了 kafka-acls.sh 脚本支持查询(list)、添加(add)、移除(remove)这3类权限控制的操作;  

  要启用 kafka ACL 权限控制,首先需要在 server.properties 文件中增加权限控制实现类的设置:

    authorizer.class.name=kafka.security.auth.SimpleAuthorizer

  当启用了 Kafka ACL 权限控制后,默认条件下除了超级用户之外,所有用户均没有任何权限;

  在 server.properties 文件设置超级用户的格式为:super.users=User:user1;User:user2

  在 server.properties 文件给所有用户开启权限的配置格式为:allow.everyone.if.no.acl.found=true

  由于客户端启动都需要连接到 kafka,因此需要假如 Java.security.auth.login.config 环境变量设置,否则即使进行了授权,客户端依然连接不上kafka。由于客户端执行的脚本都会调用 kafka-run-class.sh 脚本,因此在此脚本中加入 Java.security.suth.login.config 环境变量:

# Launch mode
KAFKA_SASL_OPTS='-DJava.security.suth.login.config=../config/kafka_server_jaas.conf'
if [ "x$DAEMON_MODE" = "xtrue" ]; then
  nohup $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_JMX_OPTS $KAFKA_SASL_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@" > "$CONSOLE_OUTPUT_FILE" 2>&1 < /dev/null &
else
  exec $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_JMX_OPTS $KAFKA_SASL_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@"
fi

  查询权限列表:

    通过 kafka-acls.sh 脚本可以查看某个主题(--topic)、某个消费组(--group)、集群(--cluster)当前的权限列表;

    kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --list --cluster

  为生产者授权:

    kafka-acls.sh --add --authorizer-properties zookeeper.connect=localhost:2181 --allow-principal User:morton --producer --topic=*

    参数 --allow-principal 指定给某个用户授权(支持正则);

    参数 --deny-principal 指定某些用户不具有权限(支持正则);

    参数 --producer 指定为该用户生产者角色授权,相当于通过 --operation 参数赋予 Write 和 Describe 权限;

    参数 --topic 参数指定哪些主题具有赋予的权限(支持正则);

    参数 --allow-host 和 参数 --deny-host 指定允许和禁止生产者访问IP;

  为消费者授权:

    kafka-acls.sh -add --authorizer-properties zookeeper.connect=localhost:2181 --allow-principal User:morton --consumer --topic=*  --group acls-group

    参数 --group 指定该消费者所属的消费组;

  删除权限:

    通过 remove 参数删除相应的权限信息,可以删除某用户对主题(--topic)、集群(cluster)、消费组(--group)的操作权限;

    参数 --operation 可以指定删除具体的权限;

    参数 --force 可以强制删除;

    kafka-acls.sh --authorizer-properties zookeeper-connect=localhost:2181 --remove --topic acls-foo --force

posted on 2019-06-29 11:32  布咚嘞  阅读(240)  评论(0编辑  收藏  举报