大数据开发系列五：kafka& zookeeper 配置kerberos认证

IT那活儿 2023-01-04

2015

点击上方“IT那活儿”公众号，关注后了解更多内容，不管IT什么活儿，干就完了！！！

今天我们继续实践在已安装的kerberos服务基础上对kafka与zookeeper 组件进行kerberos认证配置。

一

环境依赖

二

zookeeper认证配置

2.1 创建principle添加用户

kadmin.local -q "addprinc -randkey zookeeper/bigdata-05@HADOOP.COM"
kadmin.local -q "addprinc -randkey zookeeper/bigdata-01@HADOOP.COM"
kadmin.local -q "addprinc -randkey zookeeper/data01@HADOOP.COM"
kadmin.local -q "listprincs"  验证添加用户信息
复制

2.2 创建keytab密码文件

kadmin.local -q "xst -k root/keytabs/kerberos/zookeeper.keytab zookeeper/bigdata-05@HADOOP.COM"
kadmin.local -q "xst -k /root/keytabs/kerberos/zookeeper.keytab zookeeper/bigdata-01@HADOOP.COM"
kadmin.local -q "xst -k /root/keytabs/kerberos/zookeeper.keytab zookeeper/data01@HADOOP.COM"
复制

验证密钥文件：

klist -kt /root/keytabs/kerberos/zookeeper.keytab
复制

将生成的zookeeper.keytab 复制到三台zk主机器/etc/security/keytabs/ 目录下，同时将/etc/krb5.conf 也复制到三台zk主机器/etc/目录下。

2.3 配置zookeeper.conf

在所有zk主机器上 /etc/security/keytabs/目录下新建zookeeper.jaas 内容如下：

Server{
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
storeKey=true
keyTab="/etc/security/keytabs/zookeeper.keytab"
principal="zookeeper/bigdata-05@HADOOP.COM"
userTicketCache=false;
};
Client{
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
storeKey=true
keyTab="/etc/security/keytabs/zookeeper.keytab"
principal="zookeeper/bigdata-05@HADOOP.COM"
userTicketCache=false;
};
复制

红色内容需按zk所在主机名称进行修改。

2.4 zoo.cfg 配置修改

etc/zoo.cfg 新增内容：

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000
复制

2.5 配置环境变量java.env

etc/java.env
export JVMFLAGS="-Djava.security.auth.login.config=/etc/security/keytabs/zooke
eper.jaas -Djava.security.krb5.conf=/etc/krb5.conf"
复制

2.6 启动zookeeper

bin/zkServer.sh start
复制

检查日志信息。

2.7 验证认证情况

找一个zk节点利用zk客户端进行操作，./zkCli.sh -server 192.168.199.244:2183 ，当出现如下信息的时，说明客户端认证成功。

三

kafka认证配置

3.1 创建principle添加用户

kadmin.local -q "addprinc -randkey kafka/bigdata-03@HADOOP.COM"
kadmin.local -q "addprinc -randkey kafka/bigdata-05@HADOOP.COM"
kadmin.local -q "listprincs"  验证添加用户信息
复制

3.2 创建keytab密码文件

kadmin.local -q "xst -k /root/keytabs/kerberos/kafka.keytab kafka/bigdata-03@HADOOP.COM"
kadmin.local -q "xst -k /root/keytabs/kerberos/kafka.keytab kafka/bigdata-05@HADOOP.COM"
复制

验证密钥文件:

klist -kt /root/keytabs/kerberos/kafka.keytab
复制

将生成的kafka.keytab 复制到两台zk主机器/etc/security/keytabs/ 目录下，同时将/etc/krb5.conf 也复制到两台kafka主机器/etc/目录下。

3.3 配置kafka.jaas

在所有kafka主机器上 /etc/security/keytabs/目录下新建kafka.jaas 内容如下：

KafkaServer{
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
storeKey=true
serviceName="kafka"
keyTab="/etc/security/keytabs/kafka.keytab"
principal="kafka/bigdata-03@HADOOP.COM";
};
复制

红色内容需按kafka所在主机名称进行修改。

3.4 配置kafka.jaas

在所有kafka主机器上 /etc/security/keytabs/目录下新建kafka.jaas 内容如下：

KafkaServer{
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
storeKey=true
serviceName="kafka"
keyTab="/etc/security/keytabs/kafka.keytab"
principal="kafka/bigdata-03@HADOOP.COM";
};
复制

红色内容需按kafka所在主机名称进行修改。

3.5 修改kafka server.properties

新增或者修改：

listeners=SASL_PLAINTEXT://192.168.199.102:9098
advertised.listeners=SASL_PLAINTEXT://192.168.199.102:9098

security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=GSSAPI
sasl.enabled.mechanisms=GSSAPI
sasl.kerberos.service.name=kafka //需要跟principal的名称相同
复制

3.6 修改kafka kafka-server-start.sh

在脚本倒数第二行新增：

export KAFKA_OPTS="-Dzookeeper.sasl.client=true -
Dzookeeper.sasl.client.username=zookeeper -
Djava.security.krb5.conf=/etc/krb5.conf -
Djava.security.auth.login.
config=/etc/security/keytabs/kafka.jaas"
复制

zookeeper 开启 Kerberos 认证，需要将zookeeper.sasl.client 设为 true，并配置访问zk 用户凭证信息。

3.7 验证认证情况

kafka 加入认证后，利用kafka 命令查看所有的topic名称列。

1）在所有kafka主机器上 /etc/security/keytabs/目录下新建kafka-client-jaas.conf 和kafka_client.properties

内容如下：

kafka-client-jaas.conf：
KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab="/etc/security/keytabs/kafka.keytab"
storeKey=true
useTicketCache=false
principal="kafka/bigdata-03@HADOOP.COM";
};
kafka_client.properties：
security.protocol=SASL_PLAINTEXT
sasl.mechanism=GSSAPI
sasl.kerberos.service.name=kafka //需要跟principal的名称相同
复制

2）在 kafka-topics.sh 倒数第行新增认证配置项

export KAFKA_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf -
Djava.security.auth.login.config=/etc/security/keytabs/kafka-client-jaas.conf"
复制

3）查看所有的topic列表名称

./kafka-topics.sh --list --bootstrap-server 192.168.199.102:9098 --command-config 
/etc/security/keytabs/kafka_client.properties
复制

需要加入command-config 参数才能果出所有topic 列表，同时观察server.log 日志信息。

本文作者：长研架构小组(上海新炬中北团队）

本文来源：“IT那活儿”公众号

文章转载自IT那活儿，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

大数据开发系列五：kafka& zookeeper 配置kerberos认证

本文作者：长研架构小组(上海新炬中北团队）

本文来源：“IT那活儿”公众号

评论