Kafka 到 Zookeeper DIGEST-MD5 身份验证错误答案

【问题标题】：Kafka to zookeeper DIGEST-MD5 authentication errorKafka 到 Zookeeper DIGEST-MD5 身份验证错误
【发布时间】：2019-04-08 22:53:11
【问题描述】：

我可以使用 Kafka 提供的 kafka 代理和嵌入式 zookeeper 进行 DIGEST-MD5 身份验证，但是在使用 Kafka 代理和非嵌入式 zookeeper（单独的 zookeeper 实例）进行 DIGEST-MD5 身份验证时收到以下错误消息。

请在下面找到错误信息：

[2018-11-05 19:44:21,536] ERROR SASL authentication failed using login context 'Client' with exception: {} (org.apache.zookeeper.client.ZooKeeperSaslClient)

javax.security.sasl.SaslException: Error in authenticating with a Zookeeper Quorum member: the quorum member's saslToken is null.

org.apache.zookeeper.KeeperException$AuthFailedException: KeeperErrorCode = AuthFailed for /consumers

【问题讨论】：

标签： security apache-kafka apache-zookeeper hortonworks-data-platform sasl

【解决方案1】：

您的 jaas 文件是什么样的？

对于 Zookeeper 集群，zookeeper jaas 文件中必须包含三个部分： 服务器、QuorumServer和QuorumLearner

QuorumServer 和 QuorumLearner 部分用于相互验证 zookeeper 服务器。请参阅 §DIGEST-MD5 based authentication

中的配置示例 here

Server 部分用于对 kafka 代理进行身份验证。它应该包含 kafka 用户名和密码，格式如 §Server Configuration/JAAS 配置文件中的here 所示：DIGEST-MD5 身份验证

您的 Kafka jaas 文件应该有一个 Client 部分，其中包含用户名和密码，如 §客户端配置/JAAS 配置文件中的 here 所示：DIGEST-MD5 身份验证

最后，检查您是否为 zookeeper jaas 文件使用了正确的环境变量：

SERVER_JVMFLAGS="-Djava.security.auth.login.config=/path/to/server/jaas/file.conf"

嵌入式 zookeeper 使用 KAFKA_OPTS

【讨论】：

现在我启用了授权，在创建主题时出现错误，即执行主题命令时出错：KeeperErrorCode = NoAuth for /config/topics/test ERROR org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = /config/topics/test 的 NoAuth
看起来不错，您无权访问您的主题，您现在可以使用acl。在使用 kafka-acls.sh 之前，您必须使用包含 Client 部分的 jaas 文件导出 KAFKA_OPTS="-Djava.security.auth.login.config=admin_jaas.conf"
我做了同样的事情，然后它工作正常，如果我使用两个动物园管理员，那么我会遇到什么问题？
除了你需要一个odd number of zookeeper，它应该可以工作。
好的，谢谢。根据文档，我做了3个节点的zookeeper集群，例如一个zookeeper节点宕机了，那么读写情况会发生什么？