溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關如何配置Kafka集群以使用PAM后端,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
我們將研究如何配置Kafka集群以使用PAM后端而不是LDAP后端。
此處顯示的示例將以粗體突出顯示與身份驗證相關的屬性,以將其與其他必需的安全屬性區分開,如下例所示。假定已為Apache Kafka集群啟用了TLS,并且應該為每個安全集群啟用TLS。
security.protocol=SASL_SSLssl.truststore.location=/opt/cloudera/security/jks/truststore.jks.truststore.location=/opt/cloudera/security/jks/truststore.jks
我們在以下所有示例中使用kafka-console-consumer。所有概念和配置也適用于其他應用程序。
將Kafka集群配置為執行PAM(可插入身份驗證模塊)身份驗證時,Kafka會將客戶端的身份驗證委派給為其運行的操作系統配置的PAM模塊。
Kafka客戶端配置與我們用于LDAP身份驗證的配置相同,正如我們在上一篇文章中看到的:
# Uses SASL/PLAIN over a TLS encrypted connectionsecurity.protocol=SASL_SSL.protocol=SASL_SSLsasl.mechanism=PLAIN.mechanism=PLAIN# LDAP credentialssasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="supersecret1";.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="supersecret1";# TLS truststoressl.truststore.location=/opt/cloudera/security/jks/truststore.jks.truststore.location=/opt/cloudera/security/jks/truststore.jks
上面的配置使用SASL/PLAIN進行身份驗證,并使用TLS(SSL)進行數據加密。PAM身份驗證的選擇是在SASL/PLAIN的服務器端處理程序上配置的,我們將在本節后面介紹。
與LDAP身份驗證情況類似,由于用戶名和密碼是通過網絡發送的以用于客戶端身份驗證,因此對于Kafka客戶端之間的所有通信啟用并實施TLS加密非常重要。這將確保憑據始終通過網絡加密,并且不會受到損害。
必須將所有Kafka代理配置為對其SASL端點使用SASL_SSL安全協議。
根據系統中配置的PAM模塊,可能需要正確配置一些其他要求才能使PAM身份驗證起作用。確切的配置取決于所使用的模塊,不在本文檔的范圍之內。
以下是使用某些PAM模塊時可能需要的兩個附加配置的簡單示例:
如果要使用登錄服務的pam_unix模塊,則kafka用戶(運行Kafka代理的用戶)必須有權訪問/etc/shadow文件,以使身份驗證起作用。
下面的命令只是一個簡單的示例,說明如何在單個節點上實現此目標。可能會有更好的方法來確保整個集群都滿足此要求。
usermod -G shadow kafka-G shadow kafkachgrp shadow /etc/shadow/etc/shadowchmod 440 /etc/shadow 440 /etc/shadow
如果使用了pam_nologin模塊,則代理上文件/var/run/nologin的存在將阻止Kafka的PAM身份驗證正常工作。為了使PAM身份驗證正常工作,必須從所有代理中刪除文件/var/run/nologin,或者必須禁用pam_nologin模塊。
安裝Kafka服務時,默認情況下未為Kafka代理啟用PAM身份驗證,但是通過Cloudera Manager對其進行配置非常簡單:
在Cloudera Manager中,在Kafka服務配置中設置以下屬性以匹配您的環境:通過選擇PAM作為上面的SASL/PLAIN身份驗證選項,Cloudera Manager將Kafka配置為使用以下SASL/PLAIN回調處理程序:
org.apache.kafka.common.security.pam.internals..apache.kafka.common.security.pam.internals.PamPlainServerCallbackHandler
配置要用于身份驗證的PAM服務:
單擊Kafka>操作>重新啟動以重新啟動Kafka服務并使更改生效。
注意:以下信息包含敏感的憑據。將此配置存儲在文件中時,請確保已設置文件許可權,以便只有文件所有者才能讀取它。
以下是使用Kafka控制臺使用者通過PAM身份驗證從主題讀取的示例。
$ cat pam-client.properties-client.propertiessecurity.protocol=SASL_SSL.protocol=SASL_SSLsasl.mechanism=PLAIN.mechanism=PLAINsasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="supersecret1";.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="supersecret1";ssl.truststore.location=/opt/cloudera/security/jks/truststore.jks.truststore.location=/opt/cloudera/security/jks/truststore.jks$ kafka-console-consumer \-console-consumer \--bootstrap-server host-1.example.com:9093 \--bootstrap-server host-1.example.com:9093 \--topic test \--topic test \--consumer.config ./pam-client.properties--consumer.config ./pam-client.properties
關于如何配置Kafka集群以使用PAM后端就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
