Kafka SASL安全认证机制与ACL用户权限控制

目录

概述说明

一、认证

二、信道加密

三、授权

环境搭建(Kafka安全认证 SASL/PLAINTEXT)

一、Zookeeper集群配置SASL

二、Kafka集群配置SASL

认证使用

一、客户端调用认证

二、Kafka 用户权限控制 ACL

问题整理

一、配置SASL_PLAINTEXT认证和ACLS授权常见问题


概述说明

        自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能,以提高kafka集群的安全性。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。

一、认证

1.Kafka SASL的认证范围包含如下:
  • Client与Broker之间
  • Broker与Broker之间
  • Broker与Zookeeper之间
2.在Kafka系统中,SASL三种实现机制:
  • Kerberos(SASL/GSSAPI - starting at version 0.9.0.0)
  • PLAIN(SASL/PLAIN - starting at version 0.10.0.0)
  • SCRAM(SASL/SCRAM-SHA-256 and SASL/SCRAM-SHA-512 - starting at version 0.10.2.0)

        SASL(Simple Authentication and Security Layer)只是一个安全层框架,具体实现是Kerberos、PLAIN或SCRAM。

        对于一些小公司而言,他们的用户系统并不复杂,集群用户不多,而且由于运行在内网环境,SSL加密也不是很必要。SASL/PALIN而言, 运维成本相对较小,适合小公司中的Kafka集群,弊端是不能动态增减用户。
因此一个SASL/PLAINTEXT+ACL的集群环境足以应付一般的使用场景。下面我使用最新的Kafka 2.4.1版本来演示下如何构建支持SASL(PLAINTEXT) + ACL来构建secured Kafka集群

3.kafka不同的认证机制:

Kafka SASL安全认证机制与ACL用户权限控制_第1张图片

二、信道加密

        信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL。SSL(Secure Sockets Layer)在TCP握手环节使用非对称加密,在数据传输环节使用对称加密。因为非对称加密比对称加密耗时,但安全性比较高,因此在此即提高了安全性,也提高了速度。

        在Kafka系统中,SSL协议作为信道加密机制默认是禁止的,如果需要使用,可以手动启动SSL机制。在一般的上产环境中不建议启动SSL,因为使用SSL就不能使用kafka的ZORE-COPY特性,会大大降低消费时的速度。

三、授权

        授权是通过ACL(Access Control Lists)接口命令来完成用户权限控制。

环境搭建(Kafka安全认证 SASL/PLAINTEXT)

操作系统:            CentOS release 6.3 (Final)

Kafka Version:     kafka_2.11-2.4.1

Zookeeper Version:3.4.13

一、Zookeeper集群配置SASL

1、zoo.cfg文件配置

为zookeeper添加SASL支持,在配置文件zoo.cfg添加,内容如下:

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000
2.新建zk_server_jaas.conf文件,为Zookeeper添加账号认证信息

这个文件你放在哪里随意,只要后面zkEnv.sh配置正确的路径就好了。我是放在$ZK_HOME/zk_sasl_dependencies 路径下。zk_server_jaas.conf 文件的内容如下:

Server {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="zk_cluster"
    password="zk_cluster_passwd"
    user_kafka="zk_kafka_client_passwd";
};

username和paasword是zk集群之间认证的用户名密码。
user_kafka=“zk_kafka_client_passwd"定义了一个用户"kafka”,密码是"zk_kafka_client_passwd"
user_{username}=“password”:形式是定义zk集群的客户端的用户名和密码

3.将Kafka认证相关jar包导入到Zookeeper

        Zookeeper的认证机制是使用插件,“org.apache.kafka.common.security.plain.PlainLoginModule”,所以需要导入Kafka相关jar包,kafka-clients相关jar包,在kafka服务下的lib目录中可以找到,根据kafka不同版本,相关jar包版本会有所变化。

        所需要jar包如下,在zookeeper下创建目录zk_sasl_dependencies将jar包放入(目录名与位置可以随便,后续引用指定即可):

kafka-clients-2.4.1.jar
lz4-java-1.6.0.jar
slf4j-api-1.7.28.jar
slf4j-log4j12-1.7.28.ja
snappy-java-1.1.7.3.jar
4.修改zkEnv.sh

主要目的:

  1. 将这几个jar包使zookeeper读取到
  2. 加载zk_server_jaas.conf配置文件

在 zkEnv.sh 文件最后添加如下内容:

#为zookeeper添加SASL支持
for i in $ZK_HOME/zk_sasl_dependencies/*.jar; 
do 
    CLASSPATH="$i:$CLASSPATH"
done
SERVER_JVMFLAGS=" -Djava.security.auth.login.config=$ZK_HOME/zk_sasl_dependencies/zk_server_jaas.conf "
5.启动Zookeeper服务

在每个ZK节点都要做相同的配置,配置完成启动ZK集群。

我搭建的是伪分布式zk集群,在这里附上我的zoo.cfg 配置:

zoo1.cfg

tickTime=2000
initLimit=10
syncLimit=5
dataDir=/home/hadoop/zk/data/1
dataLogDir=/home/hadoop/zk/logs/1
clientPort=8181
#伪集群部署
server.1=10.194.202.17:2881:3881
server.2=10.194.202.17:2882:3882
server.3=10.194.202.17:2883:3883
#为zookeeper添加SASL支持
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

zoo2.cfg

tickTime=2000
initLimit=10
syncLimit=5
dataDir=/home/hadoop/zk/data/2
dataLogDir=/home/hadoop/zk/logs/2
clientPort=8182
#伪集群部署
server.1=10.194.202.17:2881:3881
server.2=10.194.202.17:2882:3882
server.3=10.194.202.17:2883:3883
#为zookeeper添加SASL支持
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

zoo3.cfg

tickTime=2000
initLimit=10
syncLimit=5
dataDir=/home/hadoop/zk/data/3
dataLogDir=/home/hadoop/zk/logs/3
clientPort=8183
#伪集群部署
server.1=10.194.202.17:2881:3881
server.2=10.194.202.17:2882:3882
server.3=10.194.202.17:2883:3883
#为zookeeper添加SASL支持
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

zk_cluster.sh

#!/usr/bin/env bash
# --------------------------------------------------------------
#  Author        :lijianjun
#  Create Time   :2020-04-20 12:56
#  Description   :zookeeper cluster 管理脚本
# --------------------------------------------------------------

. ~/.bashrc
ZK_HOME="/home/hadoop/zk"
alias zkServer.sh=$ZK_HOME/bin/zkServer.sh
alias zkCli.sh=$ZK_HOME/bin/zkCli.sh
ZOOKEEPERS="10.194.202.17:8181,10.194.202.17:8182,10.194.202.17:8183"
ZK_NODES=3

function start_zk(){
    for((i=1;i<=$ZK_NODES;i++))
    do 
        zkServer.sh start $ZK_HOME/conf/zoo$i.cfg
    done
}

function stop_zk(){
    for((i=1;i<=$ZK_NODES;i++))
    do 
        zkServer.sh stop $ZK_HOME/conf/zoo$i.cfg
    done
}
function status_zk(){
    for((i=1;i<=$ZK_NODES;i++))
    do 
        zkServer.sh status $ZK_HOME/conf/zoo$i.cfg
    done
}
function restart_zk(){
    for((i=1;i<=$ZK_NODES;i++))
    do 
        zkServer.sh restart $ZK_HOME/conf/zoo$i.cfg
    done
}

function init_clean(){
    stop_zk
    rm -rf $ZK_HOME/data/*
    rm -rf $ZK_HOME/logs/*
    for((i=1;i<=$ZK_NODES;i++))
    do  
        mkdir -p $ZK_HOME/data/$i
        echo $i > $ZK_HOME/data/$i/myid
    done
}

function init_zk(){
    init_clean
    start_zk
}

function conn_cluster(){
    zkCli.sh -server $ZOOKEEPERS
}


case "$1" in
    start)
        start_zk
        ;;
    stop)
        stop_zk
        ;;
    status)
        status_zk
        ;;
    restart)
        restart_zk
        ;;
    conn)
        conn_cluster
        ;;
    clean)
        init_clean
        ;;
    init)
        init_zk
        ;;
    *)
        echo "Usage: $0 {start|stop|restart|status|init|clean|conn}"
        RETVAL=1
esac

exit $RETVAL

二、Kafka集群配置SASL

1.创建kafka_server_jaas.conf文件,该文件名可以自己修改,为kafka添加认证信息

        内容如下(这里的Client与Zookeeper相对应,KafkaServer与后面调用时读取的KafkaClient相对应,是消费生产的账号密码,不要弄混了):

KafkaServer {
 org.apache.kafka.common.security.plain.PlainLoginModule required
 username="kafkacluster"
 password="kafkaclusterpasswd"
 user_kafkacluster="kafkaclusterpasswd"
 user_admin="adminpasswd"
 user_consumer="consumerpasswd"
 user_producer="producerpasswd";
};

Client{
 org.apache.kafka.common.security.plain.PlainLoginModule required  
 username="kafka"  
 password="zk_kafka_client_passwd";  
};

  KafkaServer模块,使用user_{name}来定义多个用户,供客户端程序(生产者、消费者程序或kafka broker之间)认证使用,可以定义多个,后续配置可能还可以根据不同的用户定义不同的ACL权限。上例我定义了三个用户,一个是admin,一个是kafkacluster,一个是producer,一个是consumer,等号后面是对应用户的密码(如user_producer定义了用户名为producer,密码为producerpasswd的用户)。再选择一个用户,用于Kafka内部的各个broker之间通信,这里我选择kafkacluster用户,对应的密码是"kafkaclusterpasswd"。

  Client模块,主要是kafka broker链接到zookeeper,最为zookeeper的一个客户端。从上文的Zookeeper JAAS文件中选择一个用户kafka,密码为"zk_kafka_client_passwd"。

2.在Kafka server.properties添加、修改如下信息
# Set listeners
listeners=SASL_PLAINTEXT://10.194.202.17:8092
## Set protocol
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
###security.inter.broker.protocol和inter.broker.listener.name 只能设置一个,否则报错
security.inter.broker.protocol=SASL_PLAINTEXT

# set acl
## default false | true to accept  all the users to use it
allow.everyone.if.no.acl.found=false
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
##添加超级用户,超级用户必须在kafka_server_jaas.conf文件 KafkaServer模块授权,如:user_admin="adminpasswd"
super.users=User:admin;User:kafkacluster
3.Kafka启动脚本中加入配置,把第一步创建的文件 kafka_server_jaas.conf 加载到启动环境中

修改kafka的kafka-server-start.sh文件

修改 export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G"
为 export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=$KAFKA_HOME/config/kafka_server_jaas.conf"

或者 在启动kafka之前执行一下脚本来加载到启动环境中(本人是采用的这种做法)

export KAFKA_HEAP_OPTS=$KAFKA_HEAP_OPTS" -Djava.security.auth.login.config=$KAFKA_HOME/config/kafka_server_jaas.conf"
4.启动Kafka服务

kafka server.properties 完整配置

# Set listeners
listeners=SASL_PLAINTEXT://10.194.202.17:8092
## Set protocol
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
###security.inter.broker.protocol和inter.broker.listener.name 只能设置一个,否则报错
security.inter.broker.protocol=SASL_PLAINTEXT

# set acl
# default false | true to accept  all the users to use it
allow.everyone.if.no.acl.found=false
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
#添加超级用户,超级用户必须在kafka_server_jaas.conf文件 KafkaServer模块授权,如:user_admin="adminpasswd"
super.users=User:admin;User:kafkacluster

log.retention.hours=168
zookeeper.connect=10.194.202.17:8181,10.194.202.17:8182,10.194.202.17:8183/kafka
compression.type=producer
delete.topic.enable=true
log.dirs=/home/hadoop/kafka/data
log.dir=/home/hadoop/kafka/data
num.partitions=1
min.insync.replicas=1
default.replication.factor=3
auto.create.topics.enable=false
log.retention.check.interval.ms=300000

启动:kafka-server-start.sh $KAFKA_HOME/config/server.properties

认证使用

      由于使用consumer和producer用户之前先需要ACL授权,ACL授权将在下面讲解,在这里先使用超级用户:admin,超级用户不受ACL权限控制。

一、客户端调用认证

有以下三种方式

1.命令行脚本客户端访问

配置 kafka_client_jaas.conf 文件

KafkaClient{
 org.apache.kafka.common.security.plain.PlainLoginModule required  
 username="admin"  
 password="adminpasswd";  
};

在启动kafka 生产或者消费之前执行一下脚本来加载到启动环境中

export KAFKA_HEAP_OPTS=$KAFKA_HEAP_OPTS" -Djava.security.auth.login.config=$KAFKA_HOME/config/kafka_client_jaas.conf"

consumer、producer 启动脚本

#consumer
kafka-console-consumer.sh --bootstrap-server 10.194.202.17:8092 \
--consumer-property security.protocol=SASL_PLAINTEXT \
--consumer-property sasl.mechanism=PLAIN \
--consumer-property client.id=consumer_01 \
--topic test.1 \
--group c1

#producer
kafka-console-producer.sh --broker-list 10.194.202.17:8092 \
--consumer-property security.protocol=SASL_PLAINTEXT \
--consumer-property sasl.mechanism=PLAIN \
--consumer-property client.id=producer_01 \
--topic test.1

配置sasl.conf文件

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="adminpasswd";

consumer、producer 启动脚本

#consumer
kafka-console-consumer.sh --bootstrap-server 10.194.202.17:8092 \
--consumer.config $KAFKA_HOME/config/sasl.conf \
--consumer-property client.id=consumer_01 \
--topic test.1 \
--group c1

#producer
kafka-console-producer.sh --broker-list 10.194.202.17:8092 \
--consumer.config $KAFKA_HOME/config/sasl.conf \
--consumer-property client.id=producer_01 \
--topic test.1
2.拼接sasl认证(本人采用这种方式)

consumer、producer 启动脚本

#consumer
kafka-console-consumer.sh --bootstrap-server 10.194.202.17:8092 \
--consumer-property "sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username='admin' password='adminpasswd';" \
--consumer-property security.protocol=SASL_PLAINTEXT \
--consumer-property sasl.mechanism=PLAIN \
--consumer-property client.id=consumer_01 \
--topic test.1 \
--group c1

#producer
kafka-console-producer.sh --broker-list 10.194.202.17:8092 \
--consumer-property "sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username='admin' password='adminpasswd';" \
--consumer-property security.protocol=SASL_PLAINTEXT \
--consumer-property sasl.mechanism=PLAIN \
--consumer-property client.id=producer_01 \
--topic test.1
3.java客户端访问

有以下两种方式

①配置 kafka_client_jaas.conf 文件
KafkaClient{
 org.apache.kafka.common.security.plain.PlainLoginModule required  
 username="admin"  
 password="adminpasswd";  
};

在producer 或者 consumer增加以下三项配置:

props.put("security.protocol", "SASL_PLAINTEXT");
props.put("sasl.mechanism", "PLAIN");
System.setProperty("java.security.auth.login.config", "conf/kafka_client_jaas.conf");
②无配置文件模式(本人采用这种配置)

在producer 或者 consumer增加以下三项配置:

props.put("security.protocol", "SASL_PLAINTEXT");
props.put("sasl.mechanism", "PLAIN");
props.put("sasl.jaas.config", "org.apache.kafka.common.security.plain.PlainLoginModule required username=\"admin\" password=\"adminpasswd\";");

样例:

package com.kafka;

import org.apache.kafka.clients.producer.KafkaProducer;
import org.apache.kafka.clients.producer.ProducerRecord;
import java.util.Properties;
import java.util.concurrent.ExecutionException;

/**
 * Created by lijianjun 2020/4/15
 */

public class Kafka_Producer {
    public static void main(String[] args) {
        Properties props = new Properties();
        props.put("bootstrap.servers", "10.194.202.17:8092");
        props.put("client.id", "producer_01");
        props.put("acks", "all");
        props.put("retries", 0);
        props.put("batch.size", 16384);
        props.put("linger.ms", 1);
        props.put("buffer.memory", 33554432);
        props.put("compression.type", "gzip");//none, gzip, snappy, 或者 lz4. 默认none
        props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer");
        props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer");
        // Java客户端调用认证
        props.put("security.protocol", "SASL_PLAINTEXT");
        props.put("sasl.mechanism", "PLAIN");
        props.put("sasl.jaas.config", "org.apache.kafka.common.security.plain.PlainLoginModule required username=\"producer\" password=\"producerpasswd\";");

        //System.setProperty("java.security.auth.login.config", "C:/Kafkaanquan/kafka_client_jaas.conf"); 读取配置文件方式,与读取配置文件二选一

        KafkaProducer producer = new KafkaProducer<>(props);
        try {
            for (int i = 0; i < 10; i++) {
                producer.send(new ProducerRecord("test.1", Integer.toString(i), Integer.toString(i))).get();
            }
        } catch (InterruptedException e) {
            e.printStackTrace();
        } catch (ExecutionException e) {
            e.printStackTrace();
        }
        producer.close();
    }
}

二、Kafka 用户权限控制 ACL

        在以上都配置好的基础上,在开始之前,我们简单学习下Kafka ACL的格式。根据官网的介绍,Kafka中一条ACL的格式如下:“Principal P is [Allowed/Denied] Operation O From Host H On Resource R”。它们的含义描述如下:

  • principal:表示一个Kafka user
  • operation:表示一个具体的操作类型,有效值: Read(读), Write(写), Create(创建), Delete(删除), Alter(修改), Describe(描述), ClusterAction(集群操作), All(所有)
  • Host:表示连向Kafka集群的client的IP地址,如果是‘*’则表示所有IP。注意:当前Kafka不支持主机名,只能指定IP地址
  • Resource:表示一种Kafka资源类型。当前共有5种类型:TOPIC、CLUSTER、GROUP、transactional-id、delegation-token
1.查看 acls

查看所有权限:kafka-acls.sh --authorizer-properties zookeeper.connect=10.194.202.17:8181/kafka --list 

指定一种资源类型查看:kafka-acls.sh --authorizer-properties zookeeper.connect=10.194.202.17:8181/kafka --list --topic test.1

2.添加Acls

注意:

  • 添加acl时,必须指定:–allow-principal,–deny-principal中的一个。
  • 如果不指定IP地址(即–allow-host、–deny-host),默认是所有IP地址

①允许producer用户从ip地址(10.194.202.17)对topic(test.1)执行Read和Write操作

kafka-acls.sh --authorizer-properties zookeeper.connect=10.194.202.17:8181/kafka \
--add \
--allow-principal User:producer \
--allow-host 10.194.202.17 \
--operation Read \
--operation Write \
--topic test.1

②指定资源匹配模式

默认是匹配整个文本(默认:LITERAL)

kafka-acls.sh --authorizer-properties zookeeper.connect=10.194.202.17:8181/kafka \
--add \
--allow-principal User:producer \
--producer --topic test.* \
--resource-pattern-type PREFIXED

③添加producer权限

         producer 是一种生产端的方便式写法,相当于 --operation WRITE --operation CREATE,包括的权限有:WRITE、CREATE

  • 允许producer从所有IP地址对topic(test.1)执行生产数据操作
kafka-acls.sh --authorizer-properties zookeeper.connect=10.194.202.17:8181/kafka \
--add \
--allow-principal User:producer \
--producer \
--topic test.1
  • 允许producer从ip地址(172.30.23.154)对topic(test.1)执行生产数据操作

kafka-acls.sh --authorizer-properties zookeeper.connect=10.194.202.17:8181/kafka \
--add \
--allow-principal User:producer \
--allow-host 172.30.23.154 \
--producer \
--topic test.1
  • 拒绝consumer用户对topic(test.1) 执行写权限
kafka-acls.sh --authorizer-properties zookeeper.connect=10.194.202.17:8181/kafka \
--add \
--deny-principal User:consumer \
--operation Write \
--topic test.1

④添加consumer权限

        consumer 是一种消费端的方便式写法,相当于 --operation READ  ,包括的READ

  • 允许consumer用户从所有IP地址对topic(test.1)执行消费数据操作
kafka-acls.sh --authorizer-properties zookeeper.connect=10.194.202.17:8181/kafka \
--add \
--allow-principal User:consumer \
--consumer \
--topic test.1 \
--group c1 
  • 通过 --operation 指定消费权限最为灵活

注意: --topic与–group,为两个不同的资源,如果资源匹配模式不同,则需要分开指定

1.consumer用户匹配消费以test.为前缀的topic

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--add \
--allow-principal User:consumer \
--operation Read --operation Describe \
--topic test. \
--resource-pattern-type PREFIXED

2.consumer用户只能通过groupid(c1)消费数据

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--add --allow-principal User:consumer \
--operation Read \
--operation Describe \
--group c1 \
--resource-pattern-type LITERAL
3.移除 Acls
删除不同的资源及资源类型
  • 删除group资源

删除–group(消费组)资源,资源类型为LITERAL,c1的所有权限

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--remove --group c1 \
--resource-pattern-type LITERAL

Are you sure you want to delete all ACLs for resource filter 
`ResourcePattern(resourceType=GROUP, name=c1, patternType=LITERAL)`? (y/n)
  • 删除topic资源

删除–topic(主题)资源,资源类型为LITERAL,topic(test.1)下面的所有权限

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--remove --topic test.1 \
--resource-pattern-type LITERAL

Are you sure you want to delete all ACLs for resource filter 
`ResourcePattern(resourceType=TOPIC, name=test.1, patternType=LITERAL)`? (y/n)
  • 不同的资源类型

删除–topic(主题)资源,资源类型为PREFIXED,以(test.)为前缀的topic下面的所有权限

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--remove --topic test. \
--resource-pattern-type PREFIXED

Are you sure you want to delete all ACLs for resource filter 
`ResourcePattern(resourceType=TOPIC, name=test., patternType=PREFIXED)`? (y/n)
删除级别控制

通过是否制定用户(–allow-principal)来控制移除ACL的权限粒度

  • 细粒度的删除

注意:

  • 如果不指定IP地址(即–allow-host、–deny-host),默认是所有IP地址
  • 如果不指定操作类型(即–operation),默认是ALL

不指定IP地址和操作类型

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--remove \
--topic test.1 \
--allow-principal User:user01 \
--resource-pattern-type LITERAL

Are you sure you want to remove ACLs: 
 	(principal=User:user01, host=*, operation=ALL, permissionType=ALLOW) 
 from resource filter `ResourcePattern(resourceType=TOPIC, name=test.1, patternType=LITERAL)`? (y/n)

指定IP地址和操作类型

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--remove \
--topic test.1 \
--allow-principal User:user01 \
--allow-host 10.194.202.17 \
--operation Create \
--resource-pattern-type LITERAL

Are you sure you want to remove ACLs: 
 	(principal=User:user01, host=10.194.202.17, operation=CREATE, permissionType=ALLOW) 
 from resource filter `ResourcePattern(resourceType=TOPIC, name=test.1, patternType=LITERAL)`? (y/n)
  • 粗粒度的删除

注意:

  • 如果不指定用户(即–allow-principal、–deny-principal),则指定 IP地址和操作类型无效。
    删除只能通过资源类型、名称和资源匹配类型三个条件来删除ACLS权限,
    会删除此资源类型、名称、和资源匹配类型下的所有的权限,所以请谨慎操作。

不指定用户,指定IP地址和操作类型

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--remove \
--topic test.1 \
--allow-host 10.194.202.17 \
--operation Create \
--resource-pattern-type LITERAL

Are you sure you want to delete all ACLs for resource filter 
`ResourcePattern(resourceType=TOPIC, name=test.1, patternType=LITERAL)`? (y/n)

不指定用户,不指定IP地址和操作类型

kafka-acls.sh --authorizer-properties \
zookeeper.connect=10.194.202.17:8181/kafka \
--remove \
--topic test.1 \
--resource-pattern-type LITERAL

Are you sure you want to delete all ACLs for resource filter 
`ResourcePattern(resourceType=TOPIC, name=test.1, patternType=LITERAL)`? (y/n)

问题整理

一、配置SASL_PLAINTEXT认证和ACLS授权常见问题

kafka启动报错

  • 问题1

[Controller id=11, targetBrokerId=11] Failed authentication with nj03-ns-passport-201611-c2c-m12-09.nj03.baidu.com/10.194.202.17 (Authentication failed: Invalid username or password) (org.apache.kafka.common.network.Selector)

原因: SASL_PLAINTEXT认证时用户密码验证不通过,即 kafka_server_jaas.conf 文件中KafkaServer 模块 Broker与Broker之间sasl用户密码验证不通过,如下:

username="kafkacluster1"
password="kafkaclusterpasswd"
user_kafkacluster="kafkaclusterpasswd"

  • 问题2

ERROR [KafkaApi-11] Error when handling request: clientId=11, correlationId=0, api=UPDATE_METADATA, version=6, body={controller_id=11,controller_epoch=1,broker_epoch=4294970758,topic_states=[],live_brokers=[{id=11,endpoints=[{port=8092,host=10.194.202.17,listener=SASL_PLAINTEXT,security_protocol=2,_tagged_fields={}}],rack=null,_tagged_fields={}}],_tagged_fields={}} (kafka.server.KafkaApis)
org.apache.kafka.common.errors.ClusterAuthorizationException: Request Request(processor=0, connectionId=10.194.202.17:8092-10.194.202.17:59100-0, session=Session(User:kafkacluster,/10.194.202.17), listenerName=ListenerName(SASL_PLAINTEXT), securityProtocol=SASL_PLAINTEXT, buffer=null) is not authorized

原因: kafka_server_jaas.conf 文件中KafkaServer 模块 Broker与Broker之间sasl用户密码验证正确,但acls 授权没通过。
需要添加超级用户,超级用户不需要acls授权,在server.properties文件中添加kafkacluster用户,如下:

super.users=User:admin;User:kafkacluster

kafka 客户端(包括consumer和producer)连接报错

  • 问题1

[2020-04-17 16:17:20,986] WARN [Consumer clientId=consumer_01, groupId=c1] Bootstrap broker 10.194.202.17:8092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

[2020-04-17 16:17:20,989] ERROR Error processing message, terminating consumer process: (kafka.tools.ConsoleConsumer$)
org.apache.kafka.common.errors.SaslAuthenticationException: Authentication failed: Invalid username or password

原因:SASL_PLAINTEXT认证时用户密码验证不通过,即 kafka_server_jaas.conf 文件中KafkaServer 模块 client与Broker之间sasl用户密码验证不通过。
检查如下用户名密码:

sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username='consumer' password='consumerpasswd';

  • 问题2

[2020-04-17 16:17:01,166] WARN [Consumer clientId=consumer_01, groupId=c1] Error while fetching metadata with correlation id 2 : {test.1=TOPIC_AUTHORIZATION_FAILED} (org.apache.kafka.clients.NetworkClient)

[2020-04-17 16:17:01,172] ERROR [Consumer clientId=consumer_01, groupId=c1] Topic authorization failed for topics [test.1] (org.apache.kafka.clients.Metadata)

[2020-04-17 16:17:01,174] ERROR Error processing message, terminating consumer process: (kafka.tools.ConsoleConsumer$)
org.apache.kafka.common.errors.TopicAuthorizationException: Not authorized to access topics: [test.1]

原因:SASL_PLAINTEXT认证时用户密码验证正确,但acls 授权没通过,即此用户没有访问此topic(test.1)的权限,请联系管理员对用户授权

参考:
Apache Kafka
Kafka 中文文档 - ApacheCN

你可能感兴趣的:(kafka,安全,分布式)