一文详解kafka开启kerberos认证的完整步骤

2025-03-11 17:50
文章标签 步骤 详解 认证 开启 一文 kafka 完整 kerberos

本文主要是介绍一文详解kafka开启kerberos认证的完整步骤,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

《一文详解kafka开启kerberos认证的完整步骤》这篇文章主要为大家详细介绍了kafka开启kerberos认证的完整步骤,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下...

一、kerberos安装部署

kerberos的基本原理不做过多介绍了,可自行查阅;本文主要介绍kerberos的安装及使用;使用到的软件版本:系统:Red Hat Enterprise linux release 8.6 (Ootpa) 、krb5-server:1.18.2

#使用到的软件版本
[root@kafka01 data]# cat /etc/RedHat-release
Red Hat Enterprise Linux release 8.6 (Ootpa)
#通过yum安装
[root@kafka01 ~]# yum install krb5-server
#查看本版号
[root@kafka01 ~]# rpm -qi krb5-server 
Name        : krb5-server
Version     : 1.18.2
Release     : 30.el8_10
Architecture: x86_64
Install Date: Fri 07 Mar 2025 11:11:35 AM CST
Group       : System Environment/Daemons
Size        : 1481553
License     : MIT
Signature   : RSA/SHA256, Tue 22 Oct 2024 11:00:23 PM CST, Key ID 199e2f91fd431d51

二、准备机器

序号IP主机部署服务
1192.168.10.100kafka01Kerberos Server、Kerberos Client
2192.168.10.101kafka02Kerberos Client
3192.168.10.102kafka03Kerberos Client

绑定host文件

[root@kafka01 ~]# cat /etc/hosts
192.168.10.100    kafka01
192.168.10.101    kafka02
192.168.10.102    kafka03

Kerberos Client 根据需要进行安装,安装后可以使用 kadmin 命令;对应在 Kerberos Server 上使用 kadmin.local 命令。

三、Kerberos Server 安装

[root@kafka01 ~]# yum install krb5-server

1、配置krb5.conf

#编辑配置文件
[root@kafka01 ~]# vim /etc/krb5.conf
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/

[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
#    spake_preauth_groups = edwards25519
    default_realm = NSSPKAFKA.COM  #域
    default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 NSSPKAFKA.COM = {
     kdc =  kafka01   #hostname
     admin_server = kafka01  #hostname
 }

[domain_realm]
 #.kafka01 = NSSPKAFKA.COM 
 #kafka01 = NSSPKAFKA.COM

以上配置相关参数

[logging]:日志的位置

[libdefaults]:每种连接的默认配置

dns_lookup_realm:是否通过 dns 查找需使用的 releam

ticket_lifetime:凭证的有效时限,一般为 24 小时

renew_lifetime:凭证最长可以被延期的时限,一般为一周。当凭证过期之后,对安全认证的服务后续访问就会失败

forwardable:ticket 是否可以被转发(如果用户已经有了一个TGT,当他登入到另一个远程系统,KDC会为他重新创建一个TGT,而不需要让用户重新进行身份认证)

rdns:如果为 true,则除根据 hostname 正向查找外,同时反向查找对应的 principal。如果 dns_canonicalize_hostname 设置为 false,则此标志不起作用。默认值为 true。

pkinit_anchors:受信任锚(根)证书的位置;如果用户在命令行上指定X509_anchors,则不使用该配置。

default_realm:默认的 realm,必须跟要配置的 realm 名称一致

default_ccache_name:指定默认凭据缓存的名称。默认值为 DEFCCNAME

[realms]:列举使用的 realm

kdc:kdc 运行的机器

admin_server:kdc 数据库管理服务运行的机器

[domain_realm]:配置 domain name 或 hostname 对应的 releam

详细说明可参考官网文档:http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/krb5_conf.html

2、配置kdc.conf (/var/kerberos/krb5kdc/kdc.conf)

[root@kafka01 data]# vim /var/kerberos/krb5kdc/kdc.conf 
[kdcdefaults]
    kdc_ports = 88
    kdc_tcp_ports = 88
    spake_preauth_kdc_challenge = edwards25519

[realms]
NSSPKAFKA.COM = {
     #master_key_type = aes256-cts
     acl_file = /var/kerberos/krb5kdc/kadm5.acl
     dict_file =python /usr/share/dict/words
     admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
     supported_enctypes = aes256-cts:normal aes128-cts:pythonnormal arcfour-hMAC:normal camellia256-cts:normal camellia128-cts:normal
}

以上配置相关参数详解

相关参数说明:

[kdcdefaults]:KDC 默认配置

kdc_ports:UDP 端口号

kdc_tcp_ports:TCP 端口号

[realms]:realm 数据库配置

master_key_type:主密钥的密钥类型;默认值为 aes256-cts-hmac-sha1-96。

acl_file:用于指定哪些用户可以访问 kdc 数据库的控制文件;如果不需要现在用户访问,该值可以设为空

dict_file:字典文件位置,该文件中的单词不能被用于密码;如果文件为空,或者没有为用户分配策略,则不会执行密码字典检查。

admin_keytab:KDC 进行校验的 keytab。

supported_enctypes:支持的加密方式,默认为 aes256-cts-hmac-sha1-96:normal aes128-cts-hmac-sha1-96:normal。

详细说明可参考官网文档:https://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/kdc_conf.html。

3、创建数据库

[root@kafka01 ~]# kdb5_util create -s -r DATACENTER.COM

四、启动服务

1、启动服务

#开启自启动
[root@kafka01 ~]# systemctl enable krb5kdc.service 
Created symlink /etc/systemd/system/multi-user.target.wants/krb5kdc.service → /usr/lib/systemd/system/krb5kdc.service.
#开启Kerberos服务
[root@kafka01 ~]# systemctl start krb5kdc.service 

#开启kadmin服务
[root@kafka01 ~]# systemctl enable kadmin.service 
Created symlink /etc/systemd/system/multi-user.target.wants/kadmin.service → /usr/lib/systemd/system/kadmin.service.
[root@kafka01 ~]# systemctl start kadmin.service

2、创建账号

Kerberos 服务机器上可以使用 kadmin.local 来执行各种管理的操作。进入 kadmin.local:

常用操作:

操作描述例子
add_principal, addprinc, ank增加 principaladd_principal -rnadkey test@ABC.COM
delete_principal, delprinc删除 principaldelete_principal test@ABC.COM
modify_principal, modprinc修改 principalmodify_principal test@ABC.COM
rename_principal, renprinc重命名 principalrename_principal test@ABC.COM test2@ABC.COM
get_principal, getprinc获取 principalget_principal test@ABC.COM
list_principals, listprincs, get_principals, getprincs显示所有 principallistprincs
ktadd, xst导出条目到python keytabxst -k /root/tjavascriptest.keytab test@ABC.COM
#执行命令
[root@kafka01 ~]# kadmin.local
kadmin.local:  add_principal admin/admin@NSSPKAFKA.COM
kadmin.local:  add_principal kafka-server/kafka01@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-server/kafka02@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-server/kafka03@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-client@NSSPKAFKA.COM		


#导出账号密钥
kadmin.local: xst -norandkey -k  /root/data/kafka-server1.keytab kafka-server/kafka01@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-server2.keytab kafka-server/kafka02@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-server3.keytab kafka-server/kafka03@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-client.keytab kafka-client@NSSPKAFKA.COM

五、Kerberos Client 安装

在其他集群机器上安装

[root@kafka01 ~]#yum install krb5-workstation

1、配置krb5.conf

从 192.168.10.100 上拷贝 /etc/krb5.conf 并覆盖本地的 /etc/krb5.conf。

#客户端可以是用kadmin命令
[root@kafka01 ~]# kadmin 

kinit(在客户端认证用户)
[root@kafka02 ~]# kinit admin/admin@DATACENTER.COM   #输入密码认证完成

#查看当前的认证用户
[root@kafka01 ~]# klist

#kdestroy(删除当前的认证缓存)
[root@kafka01 ~]# kdestroy

六、kafka集群开启kerberos认证

1、机器准备

序号IP主机部署服务
1192.168.10.100kafka01zookeeper、kafka
2192.168.10.101kafka02zookeeper、kafka
3192.168.10.102kafka03zookeeper、kafka

绑定host文件

[root@kafka01 ~]# cat /etc/hosts
192.168.10.100    kafka01
192.168.10.101    kafka02
192.168.10.102    kafka03

2、创建keytab文件

在安装 Kerberos 的机器上进入 kadmin(Kerberos 服务端上使用 kadmin.local,安装了 Kerberos Client 的机器上可以使用 kadmin),然后执行如下命令分别创建服务端和客户端的 keytab:

#执行命令
[root@kafka01 ~]# kadmin.local
kadmin.local:  add_principal admin/admin@NSSPKAFKA.COM
kadmin.local:  add_principal kafka-server/kafka01@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-server/kafka02@NSSPKApythonFKA.COM				
kadmin.local:  add_principal kafka-server/kafka03@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-client@NSSPKAFKA.COM		

#导出账号密钥
kadmin.local: xst -norandkey -k  /root/data/kafka-server1.keytab kafka-server/kafka01@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-server2.keytab kafka-server/kafka02@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-server3.keytab kafka-server/kafka03@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-client.keytab kafka-client@NSSPKAFKA.COM

3、Kerberos相关配置

拷贝 krb5.conf 及 keytab 文件到所有安装 Kafka 的机器,这里把文件都放到 Kafka 的 config/kerveros 目录下(kerberos 目录需新建)。

[root@kafka01 kerberos]# pwd
/opt/kafka_2.12-3.9.0/config/kerberos
[root@kafka01 kerberos]# ll
total 24
-rw-r--r-- 1 root root  95 Mar 10 15:53 client.properties
-rw-r--r-- 1 root root 246 Mar 10 16:11 kafka-client-jaas.conf
-rw------- 1 root root 379 Mar 10 16:03 kafka-client.keytab
-rw-r--r-- 1 root root 256 Mar 10 16:10 kafka-server-jaas.conf
-rw------- 1 root root 424 Mar 10 16:01 kafka-server.keytab
-rw-r--r-- 1 root root 786 Mar 10 16:10 krb5.conf

4、Kafka服务端配置(server.properties)

#执行命令
[root@kafka01 config]# vim server.properties
#配置文件开启认证
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=GSSAPI
sasl.enabled.mechanisms=GSSAPI
sasl.kerberos.service.name=kafka-server

5、新建 kafka-server-jaas.conf 文件

该文件也放到 Kafka 的 config/kerveros 目录下

[root@kafka01 kerberos]# cat kafka-server-jaas.conf 
KafkaServer {
   com.sun.security.auth.module.Krb5LoginModule required
   useKeyTab=true
   keyTab="/opt/kafka_2.12-3.9.0/config/kerberos/kafka-server.keytab" #这是导出的账号keytab文件 不同的账号不同的文件
   storeKey=true
   useTicketCache=false
   principal="kafka-server/kafka01@DATACENTER.COM";      #不同的机器 不同的账号,
};

6、修改 bin/kafka-server-start.sh 脚本

倒数第二行增加如下配置:

#进入启动脚本
[root@kafka01 bin]# vim kafka-server-start.sh 

#-dzookeeper.sasl.client=false zk没有开启认证就设置false
export KAFKA_OPTS="-Dzookeeper.sasl.client=false -Dzookeeper.sasl.client.username=zk-server -DJava.security.krb5.conf=/opt/kafka_2.12-3.9.0/config/kerberos/krb5.conf -Djava.security.auth.login.config=/opt/kafka_2.12-3.9.0/config/kerberos/kafka-server-jaas.conf"

客户端配置

7、新建 kafka-client-jaas.conf 文件

该文件也放到 Kafka 的 config/kerveros 目录下。

[root@kafka01 kerberos]# vim kafka-client-jaas.conf
KafkaClient {
   com.sun.security.auth.module.Krb5LoginModule required
   useKeyTab=true
   keyTab="/opt/kafka_2.12-3.9.0/config/kerberos/kafka-client.keytab" #客户端密钥
   storeKey=true
   useTicketCache=true
   principal="kafka-client@DATACENTER.COM"; #客户端账号 这里的';' 不能省略
};

该配置主要为了使用 bin/kafka-topics.sh、bin/kafka-console-consumer.sh、kafka-console-producer.sh 等命令

#三个文件倒数第二行 新增以下内容
export KAFKA_OPTS="-Djava.security.krb5.conf=/opt/kafka_2.12-3.9.0/config/kerberos/krb5.conf -Djava.security.auth.login.config=/opt/kafka_2.12-3.9.0/config/kerberos/kafka-client-jaas.conf"

七、启动测试

#查看topic
[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-topics.sh --list --bootstrap-server kafka:9092 --command-config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties

#创建topic & 测试链接
[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-topics.sh --create --topic test --partitions 1 --replication-factor 1 --bootstrap-server localhost:9092 --command-config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties
#生产者
[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-console-producer.sh --topic test --bootstrap-server nsspmsg.com:9092 --producer.config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties

#消费者
[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-console-consumer.sh --topic test --from-beginning --bootstrap-server nsspmsg.com:9092 --consumer.config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties

以上就是一文详解kafka开启kerberos认证的完整步骤的详细内容,更多关于kafka开启kerberos认证的资料请关注China编程(www.chinasem.cn)其它相关文章!

这篇关于一文详解kafka开启kerberos认证的完整步骤的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1153705

相关文章

PHP轻松处理千万行数据的方法详解

PHP轻松处理千万行数据的方法详解

《PHP轻松处理千万行数据的方法详解》说到处理大数据集,PHP通常不是第一个想到的语言,但如果你曾经需要处理数百万行数据而不让服务器崩溃或内存耗尽,你就会知道PHP用对了工具有多强大,下面小编就... 目录问题的本质php 中的数据流处理:为什么必不可少生成器:内存高效的迭代方式流量控制:避免系统过载一次性
阅读更多...
MyBatis分页查询实战案例完整流程

MyBatis分页查询实战案例完整流程

《MyBatis分页查询实战案例完整流程》MyBatis是一个强大的Java持久层框架,支持自定义SQL和高级映射,本案例以员工工资信息管理为例,详细讲解如何在IDEA中使用MyBatis结合Page... 目录1. MyBATis框架简介2. 分页查询原理与应用场景2.1 分页查询的基本原理2.1.1 分
阅读更多...
Nginx部署HTTP/3的实现步骤

Nginx部署HTTP/3的实现步骤

《Nginx部署HTTP/3的实现步骤》本文介绍了在Nginx中部署HTTP/3的详细步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学... 目录前提条件第一步:安装必要的依赖库第二步:获取并构建 BoringSSL第三步:获取 Nginx
阅读更多...
MySQL的JDBC编程详解

MySQL的JDBC编程详解

《MySQL的JDBC编程详解》:本文主要介绍MySQL的JDBC编程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录前言一、前置知识1. 引入依赖2. 认识 url二、JDBC 操作流程1. JDBC 的写操作2. JDBC 的读操作总结前言本文介绍了mysq
阅读更多...
MyBatis Plus实现时间字段自动填充的完整方案

MyBatis Plus实现时间字段自动填充的完整方案

《MyBatisPlus实现时间字段自动填充的完整方案》在日常开发中,我们经常需要记录数据的创建时间和更新时间,传统的做法是在每次插入或更新操作时手动设置这些时间字段,这种方式不仅繁琐,还容易遗漏,... 目录前言解决目标技术栈实现步骤1. 实体类注解配置2. 创建元数据处理器3. 服务层代码优化填充机制详
阅读更多...
Python实现Excel批量样式修改器(附完整代码)

Python实现Excel批量样式修改器(附完整代码)

《Python实现Excel批量样式修改器(附完整代码)》这篇文章主要为大家详细介绍了如何使用Python实现一个Excel批量样式修改器,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一... 目录前言功能特性核心功能界面特性系统要求安装说明使用指南基本操作流程高级功能技术实现核心技术栈关键函
阅读更多...
Redis 的 SUBSCRIBE命令详解

Redis 的 SUBSCRIBE命令详解

《Redis的SUBSCRIBE命令详解》Redis的SUBSCRIBE命令用于订阅一个或多个频道,以便接收发送到这些频道的消息,本文给大家介绍Redis的SUBSCRIBE命令,感兴趣的朋友跟随... 目录基本语法工作原理示例消息格式相关命令python 示例Redis 的 SUBSCRIBE 命令用于订
阅读更多...
使用Python批量将.ncm格式的音频文件转换为.mp3格式的实战详解

使用Python批量将.ncm格式的音频文件转换为.mp3格式的实战详解

《使用Python批量将.ncm格式的音频文件转换为.mp3格式的实战详解》本文详细介绍了如何使用Python通过ncmdump工具批量将.ncm音频转换为.mp3的步骤,包括安装、配置ffmpeg环... 目录1. 前言2. 安装 ncmdump3. 实现 .ncm 转 .mp34. 执行过程5. 执行结
阅读更多...
Python中 try / except / else / finally 异常处理方法详解

Python中 try / except / else / finally 异常处理方法详解

《Python中try/except/else/finally异常处理方法详解》:本文主要介绍Python中try/except/else/finally异常处理方法的相关资料,涵... 目录1. 基本结构2. 各部分的作用tryexceptelsefinally3. 执行流程总结4. 常见用法(1)多个e
阅读更多...
Java使用jar命令配置服务器端口的完整指南

Java使用jar命令配置服务器端口的完整指南

《Java使用jar命令配置服务器端口的完整指南》本文将详细介绍如何使用java-jar命令启动应用,并重点讲解如何配置服务器端口,同时提供一个实用的Web工具来简化这一过程,希望对大家有所帮助... 目录1. Java Jar文件简介1.1 什么是Jar文件1.2 创建可执行Jar文件2. 使用java
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2