主页
产品
Streams for Apache Kafka
2.5
在 RHEL 中使用 AMQ Streams
第 16 章使用 Kerberos (GSSAPI)身份验证

第 16 章使用 Kerberos (GSSAPI)身份验证

AMQ Streams 支持使用 Kerberos (GSSAPI)身份验证协议来保护对 Kafka 集群的单点登录访问。GSSAPI 是 Kerberos 功能的 API 包装程序，从底层实现更改中模拟应用程序。

Kerberos 是一种网络身份验证系统，其允许客户端和服务器使用对称加密和信任的第三方 KDC 来互相进行身份验证。

16.1. 设置 AMQ Streams 以使用 Kerberos (GSSAPI)身份验证
复制链接

此流程演示了如何配置 AMQ Streams，以便 Kafka 客户端可以使用 Kerberos (GSSAPI)身份验证访问 Kafka 和 ZooKeeper。

该流程假设已在 Red Hat Enterprise Linux 主机上设置了 Kerberos krb5 资源服务器。

该流程显示，带有如何配置的示例：

服务主体
使用 Kerberos 登录的 Kafka 代理
zookeeper 使用 Kerberos 登录
生产者和消费者客户端使用 Kerberos 身份验证访问 Kafka

这些说明描述了在单个主机上为单个 ZooKeeper 和 Kafka 安装设置的 Kerberos，为生成者和消费者客户端提供额外的配置。

先决条件

要配置 Kafka 和 ZooKeeper 来验证和授权 Kerberos 凭证，您需要：

访问 Kerberos 服务器
每个 Kafka 代理主机上的 Kerberos 客户端

有关在代理主机上设置 Kerberos 服务器和客户端的详情请参考 RHEL 设置配置中的 Kerberos 示例。

为身份验证添加服务主体

在 Kerberos 服务器中，为 ZooKeeper、Kafka 代理和 Kafka 生成者和消费者客户端创建服务主体（用户）。

服务主体必须采用 SERVICE-NAME/FULLY-QUALIFIED-HOST-NAME@DOMAIN-REALM 的形式。

创建通过 Kerberos KDC 存储主体密钥的服务主体和 keytab。
例如：
- zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM
- kafka/node1.example.redhat.com@EXAMPLE.REDHAT.COM
- producer1/node1.example.redhat.com@EXAMPLE.REDHAT.COM
- consumer1/node1.example.redhat.com@EXAMPLE.REDHAT.COM
  ZooKeeper 服务主体必须与 Kafka config/server.properties 文件中的 zookeeper.connect 配置具有相同的主机名：
  zookeeper.connect=node1.example.redhat.com:2181
  Copy to Clipboard Toggle word wrap
  如果主机名不相同，则使用 localhost，身份验证将失败。

在主机上创建一个目录并添加 keytab 文件：

例如：

/opt/kafka/krb5/zookeeper-node1.keytab
/opt/kafka/krb5/kafka-node1.keytab
/opt/kafka/krb5/kafka-producer1.keytab
/opt/kafka/krb5/kafka-consumer1.keytab

/opt/kafka/krb5/zookeeper-node1.keytab
/opt/kafka/krb5/kafka-node1.keytab
/opt/kafka/krb5/kafka-producer1.keytab
/opt/kafka/krb5/kafka-consumer1.keytab

Copy to Clipboard

Toggle word wrap

确保 kafka 用户可以访问目录：
```
chown kafka:kafka -R /opt/kafka/krb5
```
```
chown kafka:kafka -R /opt/kafka/krb5
```
Copy to Clipboard Toggle word wrap

将 ZooKeeper 配置为使用 Kerberos 登录

配置 ZooKeeper 以使用 Kerberos 密钥分发中心(KDC)使用之前为 zookeeper 创建的用户主体和 keytabs 进行身份验证。

创建或修改 opt/kafka/config/jaas.conf 文件来支持 ZooKeeper 客户端和服务器操作：

Client {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true 
    storeKey=true 
    useTicketCache=false 
    keyTab="/opt/kafka/krb5/zookeeper-node1.keytab" 
    principal="zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM"; 
};

Server {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true
    storeKey=true
    useTicketCache=false
    keyTab="/opt/kafka/krb5/zookeeper-node1.keytab"
    principal="zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};

QuorumServer {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true
    storeKey=true
    keyTab="/opt/kafka/krb5/zookeeper-node1.keytab"
    principal="zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};

QuorumLearner {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true
    storeKey=true
    keyTab="/opt/kafka/krb5/zookeeper-node1.keytab"
    principal="zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};

Client {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true


    storeKey=true


    useTicketCache=false


    keyTab="/opt/kafka/krb5/zookeeper-node1.keytab"


    principal="zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM";


};

Server {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true
    storeKey=true
    useTicketCache=false
    keyTab="/opt/kafka/krb5/zookeeper-node1.keytab"
    principal="zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};

QuorumServer {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true
    storeKey=true
    keyTab="/opt/kafka/krb5/zookeeper-node1.keytab"
    principal="zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};

QuorumLearner {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true
    storeKey=true
    keyTab="/opt/kafka/krb5/zookeeper-node1.keytab"
    principal="zookeeper/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};

Copy to Clipboard

Toggle word wrap

1: 设置为 true，以从 keytab 获取主体密钥。
2: 设置为 true 以存储主体密钥。
3: 设置为 true，以从票据缓存获取 Ticket Granting Ticket (TGT)。
4: keyTab 属性指向从 Kerberos KDC 复制的 keytab 文件的位置。位置和文件必须可由 kafka 用户读取。
5: principal 属性配置为与 KDC 主机上创建的完全限定域名匹配，其格式是 SERVICE-NAME/FULLY-QUALIFIED-HOST@DOMAIN-NAME。

编辑 opt/kafka/config/zookeeper.properties 以使用更新的 JAAS 配置：
```
...
```
```
# ...

requireClientAuthScheme=sasl
jaasLoginRenew=3600000 
```
1
```
kerberos.removeHostFromPrincipal=false 
```
2
```
kerberos.removeRealmFromPrincipal=false 
```
3
```
quorum.auth.enableSasl=true 
```
4
```
quorum.auth.learnerRequireSasl=true 
```
5
```
quorum.auth.serverRequireSasl=true
quorum.auth.learner.loginContext=QuorumLearner 
```
6
```
quorum.auth.server.loginContext=QuorumServer
quorum.auth.kerberos.servicePrincipal=zookeeper/_HOST 
```
7
```
quorum.cnxn.threads.size=20
```
Copy to Clipboard Toggle word wrap
1
控制登录续订的频率（以毫秒为单位），可针对票据续订间隔进行调整。默认值为一小时。
2
指定主机名是否用作登录主体名称的一部分。如果将单个 keytab 用于集群中的所有节点，则会将其设置为 true。但是，建议为每个代理主机生成单独的 keytab 和完全限定主体以进行故障排除。
3
控制域名称是否从 Kerberos 协商的主体名称中分离。建议将此设置设置为 false。
4
为 ZooKeeper 服务器和客户端启用 SASL 身份验证机制。
5
RequireSasl 属性控制仲裁事件是否需要 SASL 身份验证，如 master 选举机制。
6
loginContext 属性标识用于对指定组件进行身份验证的 JAAS 配置中登录上下文的名称。loginContext 名称与 opt/kafka/config/jaas.conf 文件中相关部分的名称对应。
7
控制用于组成用于识别的主体名称的命名惯例。占位符 _HOST 会自动解析为运行时由 server.1 属性定义的主机名。

使用 JVM 参数启动 ZooKeeper，以指定 Kerberos 登录配置：

su - kafka
export EXTRA_ARGS="-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/opt/kafka/config/jaas.conf"; /opt/kafka/bin/zookeeper-server-start.sh -daemon /opt/kafka/config/zookeeper.properties

su - kafka
export EXTRA_ARGS="-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/opt/kafka/config/jaas.conf"; /opt/kafka/bin/zookeeper-server-start.sh -daemon /opt/kafka/config/zookeeper.properties

Copy to Clipboard

Toggle word wrap

如果您不使用默认服务名称(zookeeper)，请使用 -Dzookeeper.sasl.client.username=NAME 参数添加名称。

注意

如果您使用 /etc/krb5.conf 位置，则不需要在启动 ZooKeeper, Kafka, 或 Kafka 生成者和消费者时不需要指定 -Djava.security.krb5.conf=/etc/krb5.conf。

将 Kafka 代理服务器配置为使用 Kerberos 登录

使用之前为 kafka 创建的 user principals 和 keytabs，将 Kafka 配置为使用 Kerberos 密钥分发中心(KDC)进行身份验证。

使用以下元素修改 opt/kafka/config/jaas.conf 文件：

KafkaServer {
    com.sun.security.auth.module.Krb5LoginModule required
    useKeyTab=true
    storeKey=true
    keyTab="/opt/kafka/krb5/kafka-node1.keytab"
    principal="kafka/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};
KafkaClient {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true
    storeKey=true
    useTicketCache=false
    keyTab="/opt/kafka/krb5/kafka-node1.keytab"
    principal="kafka/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};

KafkaServer {
    com.sun.security.auth.module.Krb5LoginModule required
    useKeyTab=true
    storeKey=true
    keyTab="/opt/kafka/krb5/kafka-node1.keytab"
    principal="kafka/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};
KafkaClient {
    com.sun.security.auth.module.Krb5LoginModule required debug=true
    useKeyTab=true
    storeKey=true
    useTicketCache=false
    keyTab="/opt/kafka/krb5/kafka-node1.keytab"
    principal="kafka/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
};

Copy to Clipboard

Toggle word wrap

通过修改 config/server.properties 文件中的监听程序配置来配置 Kafka 集群中的每个代理，以便监听程序使用 SASL/GSSAPI 登录。
将 SASL 协议添加到监听器的安全协议映射中，并删除所有不需要的协议。
例如：
```
...
...
...
..
```
```
# ...
broker.id=0
# ...
listeners=SECURE://:9092,REPLICATION://:9094 
```
1
```
inter.broker.listener.name=REPLICATION
# ...
listener.security.protocol.map=SECURE:SASL_PLAINTEXT,REPLICATION:SASL_PLAINTEXT 
```
2
```
# ..
sasl.enabled.mechanisms=GSSAPI 
```
3
```
sasl.mechanism.inter.broker.protocol=GSSAPI 
```
4
```
sasl.kerberos.service.name=kafka 
```
5
```
...
```
Copy to Clipboard Toggle word wrap
1
配置了两个监听器：一个安全监听程序用于与客户端的通用通信（支持 TLS 用于通信），以及用于代理间通信的复制监听程序。
2
对于启用了 TLS 的监听程序，协议名称为 SASL_PLAINTEXT。对于启用了 TLS 的连接器，协议名称为 SASL_PLAINTEXT。如果不需要 SSL，您可以删除 ssl.* 属性。
3
Kerberos 验证的 SASL 机制是 GSSAPI。
4
用于代理间通信的 Kerberos 身份验证。
5
用于指定用于身份验证请求的服务名称，以将其与可能使用相同的 Kerberos 配置的其他服务区分开来。

使用 JVM 参数启动 Kafka 代理，以指定 Kerberos 登录配置：

su - kafka
export KAFKA_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/opt/kafka/config/jaas.conf"; /opt/kafka/bin/kafka-server-start.sh -daemon /opt/kafka/config/server.properties

su - kafka
export KAFKA_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/opt/kafka/config/jaas.conf"; /opt/kafka/bin/kafka-server-start.sh -daemon /opt/kafka/config/server.properties

Copy to Clipboard

Toggle word wrap

如果代理和 ZooKeeper 集群之前已经配置并使用基于非 Kerberos 的身份验证系统，则可以启动 ZooKeeper 和 broker 集群，并检查日志中是否存在配置错误。

启动代理和 Zookeeper 实例后，集群现在被配置为 Kerberos 身份验证。

配置 Kafka producer 和消费者客户端以使用 Kerberos 身份验证

使用之前为 producer1 和 consumer1 创建的用户主体和 keytabs 配置 Kafka producer 和使用者客户端，以使用 Kerberos 密钥分发中心(KDC)进行身份验证。

将 Kerberos 配置添加到制作者或消费者配置文件中。

例如：

/opt/kafka/config/producer.properties

...
...

# ...
sasl.mechanism=GSSAPI


security.protocol=SASL_PLAINTEXT


sasl.kerberos.service.name=kafka


sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required \


    useKeyTab=true  \
    useTicketCache=false \
    storeKey=true  \
    keyTab="/opt/kafka/krb5/producer1.keytab" \
    principal="producer1/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
# ...

Copy to Clipboard

Toggle word wrap

1: 配置 Kerberos (GSSAPI)身份验证。
2: Kerberos 使用 SASL 纯文本（用户名/密码）安全协议。
3: 在 Kerberos KDC 中配置的 Kafka 的服务主体(user)。
4: 使用 jaas.conf 中定义的相同属性，为 JAAS 配置。

/opt/kafka/config/consumer.properties

...
...

# ...
sasl.mechanism=GSSAPI
security.protocol=SASL_PLAINTEXT
sasl.kerberos.service.name=kafka
sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required \
    useKeyTab=true  \
    useTicketCache=false \
    storeKey=true  \
    keyTab="/opt/kafka/krb5/consumer1.keytab" \
    principal="consumer1/node1.example.redhat.com@EXAMPLE.REDHAT.COM";
# ...

Copy to Clipboard

Toggle word wrap

运行客户端，验证您可以从 Kafka 代理发送和接收信息。

制作者客户端：

export KAFKA_HEAP_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Dsun.security.krb5.debug=true"; /opt/kafka/bin/kafka-console-producer.sh --producer.config /opt/kafka/config/producer.properties  --topic topic1 --bootstrap-server node1.example.redhat.com:9094

export KAFKA_HEAP_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Dsun.security.krb5.debug=true"; /opt/kafka/bin/kafka-console-producer.sh --producer.config /opt/kafka/config/producer.properties  --topic topic1 --bootstrap-server node1.example.redhat.com:9094

Copy to Clipboard

Toggle word wrap

消费者客户端：

export KAFKA_HEAP_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Dsun.security.krb5.debug=true"; /opt/kafka/bin/kafka-console-consumer.sh --consumer.config /opt/kafka/config/consumer.properties  --topic topic1 --bootstrap-server node1.example.redhat.com:9094

export KAFKA_HEAP_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -Dsun.security.krb5.debug=true"; /opt/kafka/bin/kafka-console-consumer.sh --consumer.config /opt/kafka/config/consumer.properties  --topic topic1 --bootstrap-server node1.example.redhat.com:9094

Copy to Clipboard

Toggle word wrap

返回顶部

第 16 章使用 Kerberos (GSSAPI)身份验证

16.1. 设置 AMQ Streams 以使用 Kerberos (GSSAPI)身份验证
复制链接

为身份验证添加服务主体

将 ZooKeeper 配置为使用 Kerberos 登录

将 Kafka 代理服务器配置为使用 Kerberos 登录

配置 Kafka producer 和消费者客户端以使用 Kerberos 身份验证

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 16 章 使用 Kerberos (GSSAPI)身份验证

16.1. 设置 AMQ Streams 以使用 Kerberos (GSSAPI)身份验证复制链接链接已复制到粘贴板!

为身份验证添加服务主体

将 ZooKeeper 配置为使用 Kerberos 登录

将 Kafka 代理服务器配置为使用 Kerberos 登录

配置 Kafka producer 和消费者客户端以使用 Kerberos 身份验证

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 16 章使用 Kerberos (GSSAPI)身份验证

16.1. 设置 AMQ Streams 以使用 Kerberos (GSSAPI)身份验证
复制链接