kubernetes - Kafka 在 kubernetes 上使用 sasl.jaas.config 配置 jaas-6ren

kubernetes - Kafka 在 kubernetes 上使用 sasl.jaas.config 配置 jaas

转载作者：行者123 更新时间：2023-12-02 11:32:18

59

4

我正在使用这个 Helm chart :https://github.com/helm/charts/tree/master/incubator/kafka

以及 values.yaml 中的这些覆盖

configurationOverrides:
  advertised.listeners: |-
    EXTERNAL://kafka-${KAFKA_BROKER_ID}.host-removed:$((31090 + ${KAFKA_BROKER_ID}))
  listener.security.protocol.map: |-
    PLAINTEXT:SASL_PLAINTEXT,EXTERNAL:SASL_PLAINTEXT
  sasl.enabled.mechanisms: SCRAM-SHA-256
  auto.create.topics.enable: false
  inter.broker.listener.name: PLAINTEXT
  sasl.mechanism.inter.broker.protocol: SCRAM-SHA-256
  listener.name.EXTERNAL.scram-sha-256.sasl.jaas.config: org.apache.kafka.common.security.scram.ScramLoginModule required username="user" password="password";

基于此文档: https://kafka.apache.org/documentation/#security_jaas_broker

(快速总结)

Brokers may also configure JAAS using the broker configuration property sasl.jaas.config. The property name must be prefixed with the listener prefix including the SASL mechanism, i.e. listener.name.{listenerName}.{saslMechanism}.sasl.jaas.config. Only one login module may be specified in the config value. If multiple mechanisms are configured on a listener, configs must be provided for each mechanism using the listener and mechanism prefix

listener.name.sasl_ssl.scram-sha-256.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required \
    username="admin" \
    password="admin-secret";

问题是，当我启动 Kafka 时，出现以下错误:

java.lang.IllegalArgumentException: Could not find a 'KafkaServer' or 'plaintext.KafkaServer' entry in the JAAS configuration. System property 'java.security.auth.login.config' is not set

根据优先顺序，如果没有设置上面的配置，它应该使用静态 jas 文件。

If JAAS configuration is defined at different levels, the order of precedence used is:

代理配置属性 listener.name.{listenerName}.{saslMechanism}.sasl.jaas.config

{listenerName}.KafkaServer 静态 JAAS 配置部分

KafkaServer 静态 JAAS 配置部分

Helm chart 不支持配置此 jaas 文件的方法，因此使用此属性似乎是所需的方式，我只是对配置不正确的内容感到困惑。

注意:如果我禁用所有 SASL 并仅使用纯文本，则集群可以正常工作，但这在实际环境中效果不佳。

最佳答案

我们定义了 2 个监听器:PLAINTEXT和 EXTERNAL .您已将两者都映射到 SASL_PLAINTEXT .

这真的是你想做的吗？还是你想要PLAINTEXT不需要 SASL 而只是纯文本？

如果您真的希望两者都是 SASL，那么它们都需要 JAAS 配置。在您的问题中，我只看到 EXTERNAL 的 JAAS 配置:

listener.name.EXTERNAL.scram-sha-256.sasl.jaas.config: org.apache.kafka.common.security.scram.ScramLoginModule required username="user" password="password";

正如您所映射的 PLAINTEXT到 SASL_PLAINTEXT，它还需要一个 JAAS 配置。您可以使用例如:

 listener.name.PLAINTEXT.scram-sha-256.sasl.jaas.config: org.apache.kafka.common.security.scram.ScramLoginModule required username="user" password="password";

如果您想要您的 PLAINTEXT监听器实际上是没有 SASL 的纯文本，那么您需要更新监听器映射:

listener.security.protocol.map: |-
  PLAINTEXT:PLAINTEXT,EXTERNAL:SASL_PLAINTEXT

关于kubernetes - Kafka 在 kubernetes 上使用 sasl.jaas.config 配置 jaas，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/52314964/

59

4

0

文章推荐： java - 使用 JavaFX 加载新屏幕

文章推荐： java - JLabel定位不起作用

文章推荐： kubernetes - 向 statefulSet 添加额外的 volumeClaimTemplate

python - sasl/saslwrapper.h :22:23: fatal error: sasl/sasl. h: 没有那个文件或目录
我有操作系统 Red Hat Enterprise Linux Server release 7.4 (Maipo) 和 python Python 2.7.13 :: Anaconda 4.4.0
python buildpack - fatal error : sasl/sasl. h:没有这样的文件或目录
我在我的 Bluemix 应用程序中安装 sasl 时遇到以下错误: Installing collected packages: sasl, thrift-sasl
android - Smack 中的 SASL 和 SASL PLAIN 有什么区别？
我正在处理有关 IM 的一些事情。它涉及XMPP。我在 Android 上开发了一个应用程序，所以我使用了 aSmack。我想登录 google talk，在这里(链接如下) https://deve
python - 在 Linux Python/pip 上构建 cyrus-sasl 后无法看到 sasl.h 文件
注意:我无法安装 libsasl2-dev，因为我没有管理员权限。我构建了 cyrus-sasl-2.1.26.tar.gz: ./configure --prefix=/home/username
ssl - 带有 SSL 选项的 Kafka SASL/Plain 和带有 SSL 的 Kafka SASL/Scram
我对上述主题有几个问题，请你能帮助理解这些事情。 SASL/Plain 可以与 SSL 一起使用，也可以不与 SSL 一起使用。因此，如果不使用 SSL，则数据将被加密和安全？使用 SSL 的 S
node.js - 为什么我收到 Kafka 错误无法初始化消息中心服务的 SASL 身份验证 : SASL handshake failed when using Node. js 客户端？
尝试将 Message Hub Bluemix 服务与 Node 一起使用时，我收到错误:无法初始化 SASL 身份验证:SASL 握手失败(启动 (-4)):SASL(-4):没有可用机制:没有找到
memcached - SASL 创建用户失败
我正在尝试将新用户添加到 SASL 数据库: saslpasswd2 -a memcached -c . 一旦我重复密码，我会收到以下错误: saslpasswd2: generic failur
SASL 与 gssapi
我正在做一个涉及身份验证的项目，我不太明白 SASL 和 gssapi 之间的区别。 gssapi 是否在 SASL 的掩护下使用？我可以在没有 SASL 的情况下使用 gssapi 吗？正确的做法是
SVN + SASL + ActiveDirectory : How to
我正在尝试设置 SVN 以针对 ActiveDirectory 进行身份验证。我知道如果您将 SVN 设置为使用 Apache 提供服务，这是可能的，但这样做会引入太多开销，并且 SVN 运行速度太慢
android - Sasl 与安卓
为什么导入 javax.security.sasl.Sasl；不适用于 Android ???? 最佳答案这不是 Google Android SDK 团队决定提供的 sun jdk 的一部分。支持
svnserve 和 SASL 问题
我已经在我的系统中配置了 svn 服务器，并为使用 SASL MD5 验证用户进行了以下配置。我在 svnserve.conf 中做了以下更改 [general] anon-access = no
java - 尝试在 SASL 身份验证期间切换数据库目标
我尝试在 Spring Boot 项目中设置一个 Mongo DB。我在 application.yml 中设置了一个 uri: spring: data: mongodb:
delphi - 我如何知道使用了哪种 SASL 机制？
在我的代码中，在创建 TIdIMAP4 连接之前，我设置了一大堆 SASL 机制，希望按照规定的“最好到最差”顺序，如下所示: IMAP.SASLMechanisms.Add.SASL := mIdS
erlang - RabbitMq sasl 日志中出现关闭错误
我们在 Windows Server 2008 上运行 RabbitMq 3.6.2 和 Erlang 17.4。我们在 sasl 日志中一遍又一遍地看到以下记录。它偶尔发生(每隔几个小时)，没有特定
Erlang:处理大量 SASL 崩溃报告的策略是什么？
当我的应用程序崩溃时，我会收到一份需要 5 分钟滚动浏览的崩溃报告。处理这个问题的最佳方法是什么？最佳答案您可以将故障转储通过管道传输到文件。重要信息可能在顶部。您可以按照 Hynek 上面所说
logging - RabbitMQ SASL 日志记录
与许多 RabbitMQ 用户一样，我在 RabbitMQ 节点上看到一些大的 [MACHINE_NAME]-sasl.log 文件，除了 =PROGRESS REPORT==== 条目外什么都不包含
java - SASL 登录验证失败 : UGFzc3dvcmQ6
CentOS6.6、Postfix、dovecot 2.0.9 和 MySQL 5.1.73 dovecot 配置(/etc/dovecot/dovecot-sql.conf.ext): driver
针对本地 SASL 的 Java 身份验证
我正在尝试制作一个 java 类，以便根据本地 SASL 对用户进行身份验证。我的 saslauthd 配置是这样的: $ cat /etc/sysconfig/saslauthd # Directo
solr - 不尝试使用 SASL 进行身份验证(未知错误)
我正在尝试在 ec2 两个实例上设置 zookeeper。如给定 here和 here . 我正在尝试运行因错误而失败的 zookeeper: 命令:bin/zkCli.sh -server loca
authentication - Kafka SASL Zookeeper 身份验证
在 Zookeeper 和代理身份验证上启用 SASL 时，我遇到以下错误。 [2017-04-18 15:54:10,476] DEBUG Size of client SASL token: 0

首页

博学

6Ren·AI

商城

kubernetes - Kafka 在 kubernetes 上使用 sasl.jaas.config 配置 jaas