kafka权限

Posted 2023-03-11

参考技术A 安全模式下，用户执行Kafka操作需要有对应操作的权限。一个用户在Kafka中有下面四种权限：

• R(ead)：从Topic读取数据

• W(rite)：向Topic生产数据

• C(reate)：创建Topic

• D(elete)：删除Topic

1、授予权限

语法：

./kafka-grant-permission.sh --permission <privileges> [--topic <topic>] --user <user_name>

--zookeeper <zookeeper_hosts> --principal <kafka_principal> --keytab <kafka_keytab_path>

说明

•<privileges> 处填授予的权限，也就是RWCD 中的一个或多个。

•--topic 为可选项，用于指定权限生效的Topic，如果不指定，则代表授予全局权限。

•<user_name> 出填被授予权限的用户。

•<zookeeper_hosts> 处填使用的ZooKeeper节点的hostname。

•<kafka_principal> 和<kafka_keytab_path> 处分别填当前节点上kafka用户的principal

和keytab的路径。

1）授予全局权限

./kafka-grant-permission.sh --permission C --user alice --zookeeper tw-node128 --principal kafka/twnode128@TDH --keytab /etc/kafka1/kafka.keytab

2）授予Topic权限

./kafka-grant-permission.sh --permission RWD--topic demo3--user alice --zookeeper tw-node128 --principal kafka/tw-node128@TDH --keytab /etc/kafka1/kafka.keytab

2、查看权限

语法

./kafka-show-permission.sh --user <user_name> [--topic <topic>] --zookeeper <zookeeper_hosts>

--principal <kafka_principal> --keytab <kafka_keytab_path>

•--topic 为可选项，用于指定查看权限的Topic，如果不指定，则代表查看所有Topic以及全局权限。

•<user_name> 出填被授予权限的用户。

•<zookeeper_hosts> 处填使用的ZooKeeper节点的hostname。

•<kafka_principal> 和<kafka_keytab_path> 处分别填当前节点上kafka用户的principal

和keytab的路径

1）查看所有Topic以及全局权限

./kafka-show-permission.sh --user alice --zookeeper tw-node128 --principal kafka/tw-node128@TDH --keytab /etc/kafka1/kafka.keytab

2）查看指定Topic的权限

./kafka-show-permission.sh --user alice --topic demo3 --zookeeper tw-node128 --principal kafka/twnode128@TDH --keytab /etc/kafka1/kafka.keytab

3、回收权限

语法

./kafka-revoke-permission.sh --permission <privileges> [--topic <topic>] --user <user_name>

--zookeeper <zookeeper_hosts> --principal <kafka_principal> --keytab <kafka_keytab_path>

说明

•<privileges> 处填收回的权限，也就是RWCD 中的一个或多个。

•--topic 为可选项，用于指定收回权限的Topic，如果不指定，则代表收回全局权限。

•<user_name> 出填被收回权限的用户。

•<zookeeper_hosts> 处填使用的ZooKeeper节点的hostname。

•<kafka_principal> 和<kafka_keytab_path> 处分别填当前节点上kafka用户的principal

和keytab的路径。

1）收回指定Topic上的权限

./kafka-revoke-permission.sh --permission W --topic demo3 --user alice --zookeeper tw-node128 --principal kafka/tw-node128@TDH --keytab /etc/kafka1/kafka.keytab

2）收回全局权限

./kafka-revoke-permission.sh --permission C --user alice --zookeeper tw-node128 --principal

kafka/tw-node128@TDH --keytab /etc/kafka1/kafka.keytab

kafka权限控制

参考技术A 转发文章-- https://www.jianshu.com/p/011567554f0f

请先在不配置任何身份验证的情况下启动Kafka

Kafka中的SCRAM实现使用Zookeeper作为凭证(credential)存储。 可以使用 kafka-configs.sh 在Zookeeper中创建凭据。 对于启用的每个SCRAM机制，必须通过添加具有机制名称的配置来创建凭证。 必须在启动Kafka broker之前创建代理间通信的凭据。 可以动态创建和更新客户端凭证，并使用更新的凭证来验证新连接。

这里只演示,不操作

或者不修改 kafka-server-start.sh 脚本, 而是将下面的内容添加到 ~/.bashrc

再官方文档中写的是

这里其实没必要写成 SASL_SSL , 我们可以根据自己的需求选择SSL或PLAINTEXT, 我这里选择PLAINTEXT不加密明文传输, 省事, 性能也相对好一些

Kafka所有Broker

先使用kafka-console-producer 和 kafka-console-consumer 测试一下

可以看到admin用户无需配置ACL就可以生成消息

生产消息

可以看到报错了, 因为fanboshi用户还没有权限

其实也会报错的, 报错内容就不贴了

生产者

消费者

都没问题了

好像只能去zookeeper看?

尝试删除alice

去ZK查看

kafka ACL常用权限操作

创建topic

使用bin/kafka-topics.sh创建
注意工具bin/kafka-topics.sh访问的是zookeeper而不是kafka，即他是一个zookeeper client而不是一个kafka client，所以它的认证都是通过zookeeper完成的。
Case 1：如果zookeeper没有配置ACL激活：

Case 2：如果zookeeper已经配置ACL激活：
命令还是前面的那个命令，但是必须提供java.security.auth.login.config指向jaas.conf文件。例如：

命令的配置可以直接修改jvm的启动脚本，或者设置在环境变量里：

这里配置的用户必须是zookeeper服务端已经配置运行可以访问的客户端用户。例如，下面的zookeeper服务端配置：

运行客户端为admin的用户作为zookeeper客户端连接访问。

查询topic

查询topic操作的ACL认证，同前面创建topic操作的认证一样，不细说，参考前面。

删除topic

删除topic操作的ACL认证，同前面创建topic操作的认证一样，不细说，参考前面。