【发布时间】:2016-09-21 13:13:03
【问题描述】:
自 V0.9.0.0 起,Apache kafka 通过使用 SASL(http://kafka.apache.org/documentation.html#security_sasl) 添加授权支持,但配置 Kerberos 和 jaas 过于复杂和混乱。那么,为什么kafka不支持像activemq这样简单的用户名/密码授权呢?它会很容易使用。
【问题讨论】:
-
那是认证,不是授权。如果你不能区分,那么恐怕你不是一个很好的位置来挑战 Apache 提交者的安全选项......
-
顺便说一句,您也可以使用 PKI 身份验证(使用 X509 证书 + Java 密钥库中的私钥),但这需要启用 SSL kafka.apache.org/documentation.html#security_configclients
-
其实,我在做一个“Kafka as a Service”。我创建了一个大的 kafka 集群池,并为每个租户分配了一个集群。我只需要确保每个租户只能使用自己的集群。所以我认为给他们一个用户名/密码对是最简单的方法。
-
好吧,如果您的“租户”由于法规(财务、健康......)或仅仅因为他们很谨慎而需要强制执行强大的安全策略,那么他们可能会对密码感到不满——除非您执行有关 pwd 强度、pwd 更新、禁用帐户多次失败尝试等的规则——此外,您还可以提供带有报告和警报的审计跟踪。另一方面,如果您的“租户”只是不关心或客观上不需要它,那么您应该可以使用开箱即用的 PLAIN 东西。
标签: authorization apache-kafka kerberos