具有 SASL 安全性的 Zookeeper 和 Kafka

Question

我已经设置了一个具有SASL SCRAM 安全性的 Kafka 集群，它工作正常。

根据文档，我使用命令kafka-configs.sh 创建用户名和密码并授予该用户访问主题的权限。

这也很好用。

但是，kafka-configs.sh 命令本身不需要任何类型的身份验证，因此我想到任何人都可以运行该命令并在 Kafka 中创建自己的用户并授予自己的权限。

也许我需要在 Zookeeper 上启用 SASL 安全性？但我找不到任何关于如何做到这一点的一致或有效的文档。像requireclientauthscheme=sasl 这样向zookeeper.config 添加属性似乎没有任何作用。或者至少它不会阻止kafka-configs.sh 在没有任何身份验证的情况下在 zookeeper 中创建新用户。

我什至会走上一条可行的道路吗？还是我需要备份并做一些不同的事情？

作为参考，我使用的是 Kafka 1.0.0 和 Zookeper 3.4.11。但如果其他版本效果更好，我会灵活选择版本。

任何帮助表示赞赏！ :)

谢谢！

Answer 1

我终于破解了这个问题的解决方案。 :)

基本上，你需要使用Zookeeper的setAcl命令来锁定节点/config/users。关于如何使用 SASL 对 Zookeeper ACL 进行身份验证的文档充其量是很差的。使用addauth 进行身份验证的正常 Zookeeper 机制不适用于 SASL，因为 SASL 必须在启动时发生，而不是像 Zookeeper 期望的那样稍后发生。

setAcl 的语法很棘手，如果你弄错了，你可能会永远把自己锁在外面。所以要小心。但是 Zookeeper 确实有办法在启动时注入一个超级用户来让自己摆脱这种情况。

所以对于您的kafka-configs.sh，您必须指定-Djava.security.auth.login.config=[some file] 参数才能将您的客户端凭据传递给Zookeeper。服务器凭据同样位于 Zookeeper 服务器上的 JAAS 文件中。

如果有人需要，我可以提供有关我的解决方案的更多技术细节，但不知何故，我怀疑我是少数尝试使用 SASL_SCRAM 认真保护 Kafka 和 Zookeeper 的人之一。 :)

我确实希望 SASL_SCRAM 能够流行起来，因为 Kerberos 是一种三头技术野兽，除非必须，否则我宁愿不使用它。 :P