4.5.4.4. CLI Kafka クライアントセッションを使用した Kafka への承認されたアクセスの確認
対話型 CLI セッションを使用して、Red Hat Single Sign-On レルムを通じて適用される承認ルールを確認します。Kafka のサンプルプロデューサーおよびコンシューマークライアントを使用してチェックを適用し、異なるレベルのアクセスを持つユーザーおよびサービスアカウントでトピックを作成します。
team-a-client
クライアントおよび team-b-client
クライアントを使用して、承認ルールを確認します。alice
admin ユーザーを使用して、Kafka で追加の管理タスクを実行します。
この例で使用される AMQ Streams Kafka イメージには、Kafka プロデューサーおよびコンシューマーバイナリーが含まれます。
前提条件
- ZooKeeper および Kafka は OpenShift クラスターで実行され、メッセージを送受信できる。
対話型 CLI Kafka クライアントセッションが開始される。
クライアントおよび管理ユーザーの設定
team-a-client
クライアントの認証プロパティーで Kafka 設定ファイルを準備します。SSO_HOST=SSO-HOSTNAME cat > /tmp/team-a-client.properties << EOF security.protocol=SASL_SSL ssl.truststore.location=/tmp/truststore.p12 ssl.truststore.password=$STOREPASS ssl.truststore.type=PKCS12 sasl.mechanism=OAUTHBEARER sasl.jaas.config=org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required \ oauth.client.id="team-a-client" \ oauth.client.secret="team-a-client-secret" \ oauth.ssl.truststore.location="/tmp/truststore.p12" \ oauth.ssl.truststore.password="$STOREPASS" \ oauth.ssl.truststore.type="PKCS12" \ oauth.token.endpoint.uri="https://$SSO_HOST/auth/realms/kafka-authz/protocol/openid-connect/token" ; sasl.login.callback.handler.class=io.strimzi.kafka.oauth.client.JaasClientOauthLoginCallbackHandler EOF
SASL OAUTHBEARER メカニズムが使用されます。このメカニズムにはクライアント ID とクライアントシークレットが必要です。これは、クライアントが最初に Red Hat Single Sign-On サーバーに接続してアクセストークンを取得することを意味します。その後、クライアントは Kafka ブローカーに接続し、アクセストークンを使用して認証します。
team-b-client
クライアントの認証プロパティーで Kafka 設定ファイルを準備します。cat > /tmp/team-b-client.properties << EOF security.protocol=SASL_SSL ssl.truststore.location=/tmp/truststore.p12 ssl.truststore.password=$STOREPASS ssl.truststore.type=PKCS12 sasl.mechanism=OAUTHBEARER sasl.jaas.config=org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required \ oauth.client.id="team-b-client" \ oauth.client.secret="team-b-client-secret" \ oauth.ssl.truststore.location="/tmp/truststore.p12" \ oauth.ssl.truststore.password="$STOREPASS" \ oauth.ssl.truststore.type="PKCS12" \ oauth.token.endpoint.uri="https://$SSO_HOST/auth/realms/kafka-authz/protocol/openid-connect/token" ; sasl.login.callback.handler.class=io.strimzi.kafka.oauth.client.JaasClientOauthLoginCallbackHandler EOF
curl
を使用して管理者ユーザーalice
を認証し、パスワード付与認証を実行して更新トークンを取得します。USERNAME=alice PASSWORD=alice-password GRANT_RESPONSE=$(curl -X POST "https://$SSO_HOST/auth/realms/kafka-authz/protocol/openid-connect/token" -H 'Content-Type: application/x-www-form-urlencoded' -d "grant_type=password&username=$USERNAME&password=$PASSWORD&client_id=kafka-cli&scope=offline_access" -s -k) REFRESH_TOKEN=$(echo $GRANT_RESPONSE | awk -F "refresh_token\":\"" '{printf $2}' | awk -F "\"" '{printf $1}')
更新トークンは、有効期間がなく、期限切れにならないオフライントークンです。
admin ユーザー
alice
の認証プロパティーで Kafka 設定ファイルを準備します。cat > /tmp/alice.properties << EOF security.protocol=SASL_SSL ssl.truststore.location=/tmp/truststore.p12 ssl.truststore.password=$STOREPASS ssl.truststore.type=PKCS12 sasl.mechanism=OAUTHBEARER sasl.jaas.config=org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required \ oauth.refresh.token="$REFRESH_TOKEN" \ oauth.client.id="kafka-cli" \ oauth.ssl.truststore.location="/tmp/truststore.p12" \ oauth.ssl.truststore.password="$STOREPASS" \ oauth.ssl.truststore.type="PKCS12" \ oauth.token.endpoint.uri="https://$SSO_HOST/auth/realms/kafka-authz/protocol/openid-connect/token" ; sasl.login.callback.handler.class=io.strimzi.kafka.oauth.client.JaasClientOauthLoginCallbackHandler EOF
kafka-cli
パブリッククライアントは、sasl.jaas .config
のoauth.client. id
に使用されます。これはパブリッククライアントであるため、シークレットは必要ありません。クライアントは直前の手順で認証された更新トークンで認証されます。更新トークンは背後でアクセストークンを要求します。これは、認証のために Kafka ブローカーに送信されます。
承認されたアクセスでのメッセージの生成
team-a-client
の設定を使って、a_
やx_
で始まるトピックへのメッセージを作成できるかどうかを確認します。
トピック
my-topic
に書き込みます。bin/kafka-console-producer.sh --broker-list my-cluster-kafka-bootstrap:9093 --topic my-topic \ --producer.config=/tmp/team-a-client.properties First message
以下のリクエストは、
Not authorized to access topics: [my-topic]
エラーを返します。team-a-client
はDev Team A
ロールを持っており、a_
で始まるトピックに対してサポートされているすべてのアクションを実行する権限を与えられていますが、x_
で始まるトピックへの書き込みのみ可能です。my-topic
という名前のトピックは、これらのルールのいずれにも一致しません。トピック
a_messages
に書き込む。bin/kafka-console-producer.sh --broker-list my-cluster-kafka-bootstrap:9093 --topic a_messages \ --producer.config /tmp/team-a-client.properties First message Second message
メッセージは Kafka に正常に生成されます。
- CTRL+C を押して CLI アプリケーションを終了します。
-
リクエストについて、Kafka コンテナーログで
Authorization GRANTED
のデバッグログを確認します。
oc logs my-cluster-kafka-0 -f -n $NS
承認されたアクセスでのメッセージの消費
team-a-client
設定を使用して、トピック a_messages
からメッセージを消費します。
トピック
a_messages
からメッセージをフェッチします。bin/kafka-console-consumer.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --topic a_messages \ --from-beginning --consumer.config /tmp/team-a-client.properties
team-a-client
のDev Team A
ロールは、名前がa_
で始まるコンシューマーグループのみにアクセスできるため、リクエストはエラーを返します。team-a-client
プロパティーを更新し、使用が許可されているカスタムコンシューマーグループを指定します。bin/kafka-console-consumer.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --topic a_messages \ --from-beginning --consumer.config /tmp/team-a-client.properties --group a_consumer_group_1
コンシューマーは
a_messages
トピックからすべてのメッセージを受信します。
承認されたアクセスでの Kafka の管理
team-a-client
はクラスターレベルのアクセスのないアカウントですが、一部の管理操作と使用することができます。
トピックを一覧表示します。
bin/kafka-topics.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --command-config /tmp/team-a-client.properties --list
a_messages
トピックが返されます。コンシューマーグループを一覧表示します。
bin/kafka-consumer-groups.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --command-config /tmp/team-a-client.properties --list
a_consumer_group_1
コンシューマーグループが返されます。クラスター設定の詳細を取得します。
bin/kafka-configs.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --command-config /tmp/team-a-client.properties \ --entity-type brokers --describe --entity-default
操作には
team-a-client
にないクラスターレベルのパーミッションが必要なため、リクエストはエラーを返します。
異なるパーミッションを持つクライアントの使用
team-b-client
設定を使用して、b_
で始まるトピックにメッセージを生成します。
トピック
a_messages
に書き込む。bin/kafka-console-producer.sh --broker-list my-cluster-kafka-bootstrap:9093 --topic a_messages \ --producer.config /tmp/team-b-client.properties Message 1
以下のリクエストは、
Not authorized to access topics: [a_messages]
エラーを返します。トピック
b_messages
に書き込む。bin/kafka-console-producer.sh --broker-list my-cluster-kafka-bootstrap:9093 --topic b_messages \ --producer.config /tmp/team-b-client.properties Message 1 Message 2 Message 3
メッセージは Kafka に正常に生成されます。
トピック
x_messages
に書き込む。bin/kafka-console-producer.sh --broker-list my-cluster-kafka-bootstrap:9093 --topic x_messages \ --producer.config /tmp/team-b-client.properties Message 1
Not authorized to access topics: [x_messages]
エラーが返され、team-b-client
はトピックx_messages
からのみ読み取りできます。team-a-client を使用してトピック
。x_messages
に書き込みますbin/kafka-console-producer.sh --broker-list my-cluster-kafka-bootstrap:9093 --topic x_messages \ --producer.config /tmp/team-a-client.properties Message 1
このリクエストは、
Not authorized to access topics: [x_messages]
エラーを返します。team-a-client
はx_messages
トピックに書き込みできますが、トピックが存在しない場合に作成するパーミッションがありません。team-a-client
がx_messages
トピックに書き込みできるようにするには、管理者 power user はパーティションやレプリカの数などの適切な設定で作成する必要があります。
承認された管理ユーザーでの Kafka の管理
管理者ユーザー alice
を使用して Kafka を管理します。alice
は、すべての Kafka クラスターのすべての管理にフルアクセスできます。
alice
としてx_messages
トピックを作成します。bin/kafka-topics.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --command-config /tmp/alice.properties \ --topic x_messages --create --replication-factor 1 --partitions 1
トピックが正常に作成されました。
alice
としてすべてのトピックを一覧表示します。bin/kafka-topics.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --command-config /tmp/alice.properties --list bin/kafka-topics.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --command-config /tmp/team-a-client.properties --list bin/kafka-topics.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --command-config /tmp/team-b-client.properties --list
管理者ユーザーの
alice
はすべてのトピックを一覧表示できますが、team-a-client
とteam-b
-clientは自分がアクセスできるトピックのみを一覧表示できます。Dev Team A
ロールとDev Team B
ロールは、どちらもx_
で始まるトピックに対するDescribe
権限を持っていますが、他のチームのトピックに対するDescribe
権限を持っていないため、他のチームのトピックを見ることができません。team-a-client
を使用して、x_messages
トピックにメッセージを生成します。bin/kafka-console-producer.sh --broker-list my-cluster-kafka-bootstrap:9093 --topic x_messages \ --producer.config /tmp/team-a-client.properties Message 1 Message 2 Message 3
alice
がx_messages
トピックを作成すると、メッセージが正常に Kafka に生成されます。team-b-client
を使って、x_messages
トピックにメッセージを生成します。bin/kafka-console-producer.sh --broker-list my-cluster-kafka-bootstrap:9093 --topic x_messages \ --producer.config /tmp/team-b-client.properties Message 4 Message 5
このリクエストは、
Not authorized to access topics: [x_messages]
エラーを返します。team-b-client
を使って、x_messages
トピックからメッセージを消費します。bin/kafka-console-consumer.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --topic x_messages \ --from-beginning --consumer.config /tmp/team-b-client.properties --group x_consumer_group_b
コンシューマーは、
x_messages
トピックからすべてのメッセージを受け取ります。team-a-client
を使って、x_messages
トピックからメッセージを消費します。bin/kafka-console-consumer.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --topic x_messages \ --from-beginning --consumer.config /tmp/team-a-client.properties --group x_consumer_group_a
このリクエストは、
Not authorized to access topics: [x_messages]
エラーを返します。team-a-client
を使って、a_
で始まるコンシューマーグループからのメッセージを消費します。bin/kafka-console-consumer.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --topic x_messages \ --from-beginning --consumer.config /tmp/team-a-client.properties --group a_consumer_group_a
このリクエストは、
Not authorized to access topics: [x_messages]
エラーを返します。Dev Team A
には、x_
で始まるトピックのRead
権限がありません。alice
を使って、x_messages
トピックへのメッセージを生成します。bin/kafka-console-consumer.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --topic x_messages \ --from-beginning --consumer.config /tmp/alice.properties
メッセージは Kafka に正常に生成されます。
alice
は、すべてのトピックに対して読み取りまたは書き込みを行うことができます。alice
を使用してクラスター設定を読み取ります。bin/kafka-configs.sh --bootstrap-server my-cluster-kafka-bootstrap:9093 --command-config /tmp/alice.properties \ --entity-type brokers --describe --entity-default
この例のクラスター設定は空です。