中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何配置Kafka集群以使用PAM后端

發布時間:2021-12-15 11:10:55 來源:億速云 閱讀:141 作者:柒染 欄目:大數據

這篇文章將為大家詳細講解有關如何配置Kafka集群以使用PAM后端,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

我們將研究如何配置Kafka集群以使用PAM后端而不是LDAP后端。

此處顯示的示例將以粗體突出顯示與身份驗證相關的屬性,以將其與其他必需的安全屬性區分開,如下例所示。假定已為Apache Kafka集群啟用了TLS,并且應該為每個安全集群啟用TLS。

security.protocol=SASL_SSL
ssl.truststore.location=/opt/cloudera/security/jks/truststore.jks.truststore.location=/opt/cloudera/security/jks/truststore.jks

我們在以下所有示例中使用kafka-console-consumer。所有概念和配置也適用于其他應用程序。

 

PAM驗證

將Kafka集群配置為執行PAM(可插入身份驗證模塊)身份驗證時,Kafka會將客戶端的身份驗證委派給為其運行的操作系統配置的PAM模塊。 

Kafka客戶端配置與我們用于LDAP身份驗證的配置相同,正如我們在上一篇文章中看到的:

# Uses SASL/PLAIN over a TLS encrypted connectionsecurity.protocol=SASL_SSL.protocol=SASL_SSLsasl.mechanism=PLAIN.mechanism=PLAIN# LDAP credentialssasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="supersecret1";.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="supersecret1";# TLS truststoressl.truststore.location=/opt/cloudera/security/jks/truststore.jks.truststore.location=/opt/cloudera/security/jks/truststore.jks

上面的配置使用SASL/PLAIN進行身份驗證,并使用TLS(SSL)進行數據加密。PAM身份驗證的選擇是在SASL/PLAIN的服務器端處理程序上配置的,我們將在本節后面介紹。

 

確保正在使用TLS/SSL加密

與LDAP身份驗證情況類似,由于用戶名和密碼是通過網絡發送的以用于客戶端身份驗證,因此對于Kafka客戶端之間的所有通信啟用并實施TLS加密非常重要。這將確保憑據始終通過網絡加密,并且不會受到損害。

必須將所有Kafka代理配置為對其SASL端點使用SASL_SSL安全協議。

其他要求

根據系統中配置的PAM模塊,可能需要正確配置一些其他要求才能使PAM身份驗證起作用。確切的配置取決于所使用的模塊,不在本文檔的范圍之內。

以下是使用某些PAM模塊時可能需要的兩個附加配置的簡單示例:

  • 如果要使用登錄服務的pam_unix模塊,則kafka用戶(運行Kafka代理的用戶)必須有權訪問/etc/shadow文件,以使身份驗證起作用。

下面的命令只是一個簡單的示例,說明如何在單個節點上實現此目標。可能會有更好的方法來確保整個集群都滿足此要求。

usermod -G shadow kafka-G shadow kafkachgrp shadow /etc/shadow/etc/shadowchmod 440 /etc/shadow 440 /etc/shadow
  • 如果使用了pam_nologin模塊,則代理上文件/var/run/nologin的存在將阻止Kafka的PAM身份驗證正常工作。為了使PAM身份驗證正常工作,必須從所有代理中刪除文件/var/run/nologin,或者必須禁用pam_nologin模塊。

 

在Kafka Broker上啟用PAM身份驗證

安裝Kafka服務時,默認情況下未為Kafka代理啟用PAM身份驗證,但是通過Cloudera Manager對其進行配置非常簡單:

在Cloudera Manager中,在Kafka服務配置中設置以下屬性以匹配您的環境:通過選擇PAM作為上面的SASL/PLAIN身份驗證選項,Cloudera Manager將Kafka配置為使用以下SASL/PLAIN回調處理程序:
如何配置Kafka集群以使用PAM后端

org.apache.kafka.common.security.pam.internals..apache.kafka.common.security.pam.internals.PamPlainServerCallbackHandler
  • 配置要用于身份驗證的PAM服務:

如何配置Kafka集群以使用PAM后端

  • 單擊Kafka>操作>重新啟動以重新啟動Kafka服務并使更改生效。

 

示例

注意:以下信息包含敏感的憑據。將此配置存儲在文件中時,請確保已設置文件許可權,以便只有文件所有者才能讀取它。

以下是使用Kafka控制臺使用者通過PAM身份驗證從主題讀取的示例。

$ cat pam-client.properties-client.propertiessecurity.protocol=SASL_SSL.protocol=SASL_SSLsasl.mechanism=PLAIN.mechanism=PLAINsasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="supersecret1";.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="supersecret1";ssl.truststore.location=/opt/cloudera/security/jks/truststore.jks.truststore.location=/opt/cloudera/security/jks/truststore.jks

$ kafka-console-consumer \-console-consumer \   --bootstrap-server host-1.example.com:9093 \--bootstrap-server host-1.example.com:9093 \   --topic test \--topic test \    --consumer.config ./pam-client.properties--consumer.config ./pam-client.properties

關于如何配置Kafka集群以使用PAM后端就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

同仁县| 珠海市| 西安市| 罗江县| 武威市| 武强县| 延吉市| 简阳市| 深圳市| 舒兰市| 阿瓦提县| 马公市| 安龙县| 双峰县| 天镇县| 东乡族自治县| 乐山市| 平湖市| 凯里市| 湖口县| 南岸区| 斗六市| 乌拉特后旗| 彰化市| 原平市| 孙吴县| 桓台县| 通许县| 炎陵县| 当阳市| 华宁县| 壤塘县| 庆云县| 保康县| 饶阳县| 乐亭县| 工布江达县| 子长县| 西平县| 治多县| 鄱阳县|