4.9.7. 启用 SASL SCRAM 身份验证
这个步骤描述了如何在 Kafka 代理中启用 SASL SCRAM 身份验证。
先决条件
- AMQ Streams 安装 在所有用作 Kafka 代理的主机上。
流程
编辑或创建
/opt/kafka/config/jaas.confJAAS 配置文件。为KafkaServer上下文启用ScramLoginModule。请在所有 Kafka 代理上确保此文件相同。例如:
KafkaServer { org.apache.kafka.common.security.scram.ScramLoginModule required; };编辑所有集群节点中的
/opt/kafka/config/server.propertiesKafka 配置文件。-
更改
listener.security.protocol.map字段,为您要使用 SASL SCRAM 身份验证的监听程序指定SASL_PLAINTEXT或SASL_SSL协议。 将
sasl.enabled.mechanisms选项设置为SCRAM-SHA-256或SCRAM-SHA-512。例如:
listeners=INSECURE://:9092,AUTHENTICATED://:9093,REPLICATION://:9094 listener.security.protocol.map=INSECURE:PLAINTEXT,AUTHENTICATED:SASL_PLAINTEXT,REPLICATION:PLAINTEXT sasl.enabled.mechanisms=SCRAM-SHA-512
-
更改
(重新)使用 KAFKA_OPTS 环境变量启动 Kafka 代理,将 JAAS 配置传递给 Kafka 代理。
su - kafka export KAFKA_OPTS="-Djava.security.auth.login.config=/opt/kafka/config/jaas.conf"; /opt/kafka/bin/kafka-server-start.sh -daemon /opt/kafka/config/server.properties
其它资源
- 有关配置 AMQ Streams 的详情请参考 第 2.8 节 “配置 AMQ 流”。
- 有关运行 Kafka 集群的详情请参考 第 4.5 节 “运行多节点 Kafka 集群”。
- 有关添加 SASL SCRAM 用户的详情请参考 第 4.9.8 节 “添加 SASL SCRAM 用户”。
- 有关删除 SASL SCRAM 用户的详情请参考 第 4.9.9 节 “删除 SASL SCRAM 用户”。
有关在客户端中配置 SASL SCRAM 身份验证的详情请参考:
