kafka开启kerberos认证详细步骤

一、kerberos安装部署

kerberos的基本原理不做过多介绍了，可自行查阅；本文主要介绍kerberos的安装及使用;使用到的软件版本：系统：Red Hat Enterprise Linux release 8.6 (Ootpa) 、krb5-server：1.18.2

#使用到的软件版本
[root@kafka01 data]# cat /etc/redhat-release
Red Hat Enterprise Linux release 8.6 (Ootpa)
#通过yum安装
[root@kafka01 ~]# yum install krb5-server
#查看本版号
[root@kafka01 ~]# rpm -qi krb5-server 
Name        : krb5-server
Version     : 1.18.2
Release     : 30.el8_10
Architecture: x86_64
Install Date: Fri 07 Mar 2025 11:11:35 AM CST
Group       : System Environment/Daemons
Size        : 1481553
License     : MIT
Signature   : RSA/SHA256, Tue 22 Oct 2024 11:00:23 PM CST, Key ID 199e2f91fd431d51

二、准备机器

序号	IP	主机	部署服务
1	192.168.10.100	kafka01	Kerberos Server、Kerberos Client
2	192.168.10.101	kafka02	Kerberos Client
3	192.168.10.102	kafka03	Kerberos Client

绑定host文件

[root@kafka01 ~]# cat /etc/hosts
192.168.10.100    kafka01
192.168.10.101    kafka02
192.168.10.102    kafka03

Kerberos Client 根据需要进行安装，安装后可以使用 kadmin 命令；对应在 Kerberos Server 上使用 kadmin.local 命令。

三、Kerberos Server 安装

[root@kafka01 ~]# yum install krb5-server

1、配置krb5.conf

#编辑配置文件
[root@kafka01 ~]# vim /etc/krb5.conf
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/[logging]default = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.log[libdefaults]dns_lookup_realm = falseticket_lifetime = 24hrenew_lifetime = 7dforwardable = truerdns = falsepkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
#    spake_preauth_groups = edwards25519default_realm = NSSPKAFKA.COM  #域default_ccache_name = KEYRING:persistent:%{uid}[realms]NSSPKAFKA.COM = {kdc =  kafka01   #hostnameadmin_server = kafka01  #hostname}[domain_realm]#.kafka01 = NSSPKAFKA.COM #kafka01 = NSSPKAFKA.COM

以上配置相关参数

[logging]：日志的位置
[libdefaults]：每种连接的默认配置dns_lookup_realm：是否通过 dns 查找需使用的 releamticket_lifetime：凭证的有效时限，一般为 24 小时renew_lifetime：凭证最长可以被延期的时限，一般为一周。当凭证过期之后，对安全认证的服务后续访问就会失败forwardable：ticket 是否可以被转发（如果用户已经有了一个TGT，当他登入到另一个远程系统，KDC会为他重新创建一个TGT，而不需要让用户重新进行身份认证）rdns：如果为 true，则除根据 hostname 正向查找外，同时反向查找对应的 principal。如果 dns_canonicalize_hostname 设置为 false，则此标志不起作用。默认值为 true。pkinit_anchors：受信任锚（根）证书的位置；如果用户在命令行上指定X509_anchors，则不使用该配置。default_realm：默认的 realm，必须跟要配置的 realm 名称一致default_ccache_name：指定默认凭据缓存的名称。默认值为 DEFCCNAME
[realms]：列举使用的 realmkdc：kdc 运行的机器admin_server：kdc 数据库管理服务运行的机器
[domain_realm]：配置 domain name 或 hostname 对应的 releam详细说明可参考官网文档：http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/krb5_conf.html。

2、配置kdc.conf (/var/kerberos/krb5kdc/kdc.conf)

[root@kafka01 data]# vim /var/kerberos/krb5kdc/kdc.conf 
[kdcdefaults]kdc_ports = 88kdc_tcp_ports = 88spake_preauth_kdc_challenge = edwards25519[realms]
NSSPKAFKA.COM = {#master_key_type = aes256-ctsacl_file = /var/kerberos/krb5kdc/kadm5.acldict_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabsupported_enctypes = aes256-cts:normal aes128-cts:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal
}

以上配置相关参数详解

相关参数说明：
[kdcdefaults]：KDC 默认配置
kdc_ports：UDP 端口号
kdc_tcp_ports：TCP 端口号
[realms]：realm 数据库配置
master_key_type：主密钥的密钥类型；默认值为 aes256-cts-hmac-sha1-96。
acl_file：用于指定哪些用户可以访问 kdc 数据库的控制文件；如果不需要现在用户访问，该值可以设为空
dict_file：字典文件位置，该文件中的单词不能被用于密码；如果文件为空，或者没有为用户分配策略，则不会执行密码字典检查。
admin_keytab：KDC 进行校验的 keytab。
supported_enctypes：支持的加密方式，默认为 aes256-cts-hmac-sha1-96:normal aes128-cts-hmac-sha1-96:normal。
详细说明可参考官网文档：https://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/kdc_conf.html。

3、创建数据库

[root@kafka01 ~]# kdb5_util create -s -r DATACENTER.COM

四、启动服务

1、启动服务

#开启自启动
[root@kafka01 ~]# systemctl enable krb5kdc.service 
Created symlink /etc/systemd/system/multi-user.target.wants/krb5kdc.service → /usr/lib/systemd/system/krb5kdc.service.
#开启Kerberos服务
[root@kafka01 ~]# systemctl start krb5kdc.service #开启kadmin服务
[root@kafka01 ~]# systemctl enable kadmin.service 
Created symlink /etc/systemd/system/multi-user.target.wants/kadmin.service → /usr/lib/systemd/system/kadmin.service.
[root@kafka01 ~]# systemctl start kadmin.service

2、创建账号

• Kerberos 服务机器上可以使用 kadmin.local 来执行各种管理的操作。进入 kadmin.local：

  常用操作：

  操作	描述	例子
  add_principal, addprinc, ank	增加 principal	add_principal -rnadkey test@ABC.COM
  delete_principal, delprinc	删除 principal	delete_principal test@ABC.COM
  modify_principal, modprinc	修改 principal	modify_principal test@ABC.COM
  rename_principal, renprinc	重命名 principal	rename_principal test@ABC.COM test2@ABC.COM
  get_principal, getprinc	获取 principal	get_principal test@ABC.COM
  list_principals, listprincs, get_principals, getprincs	显示所有 principal	listprincs
  ktadd, xst	导出条目到 keytab	xst -k /root/test.keytab test@ABC.COM

#执行命令
[root@kafka01 ~]# kadmin.local
kadmin.local:  add_principal admin/admin@NSSPKAFKA.COM
kadmin.local:  add_principal kafka-server/kafka01@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-server/kafka02@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-server/kafka03@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-client@NSSPKAFKA.COM		#导出账号密钥
kadmin.local: xst -norandkey -k  /root/data/kafka-server1.keytab kafka-server/kafka01@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-server2.keytab kafka-server/kafka02@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-server3.keytab kafka-server/kafka03@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-client.keytab kafka-client@NSSPKAFKA.COM

五、Kerberos Client 安装

在其他集群机器上安装

[root@kafka01 ~]#yum install krb5-workstation

1、配置krb5.conf

从 192.168.10.100 上拷贝 /etc/krb5.conf 并覆盖本地的 /etc/krb5.conf。

#客户端可以是用kadmin命令
[root@kafka01 ~]# kadmin kinit(在客户端认证用户)
[root@kafka02 ~]# kinit admin/admin@DATACENTER.COM   #输入密码认证完成#查看当前的认证用户
[root@kafka01 ~]# klist#kdestroy(删除当前的认证缓存)
[root@kafka01 ~]# kdestroy

六、kafka集群开启kerberos认证

1、机器准备

序号	IP	主机	部署服务
1	192.168.10.100	kafka01	zookeeper、kafka
2	192.168.10.101	kafka02	zookeeper、kafka
3	192.168.10.102	kafka03	zookeeper、kafka

绑定host文件

[root@kafka01 ~]# cat /etc/hosts
192.168.10.100    kafka01
192.168.10.101    kafka02
192.168.10.102    kafka03

2、创建keytab文件

在安装 Kerberos 的机器上进入 kadmin（Kerberos 服务端上使用 kadmin.local，安装了 Kerberos Client 的机器上可以使用 kadmin），然后执行如下命令分别创建服务端和客户端的 keytab：

#执行命令
[root@kafka01 ~]# kadmin.local
kadmin.local:  add_principal admin/admin@NSSPKAFKA.COM
kadmin.local:  add_principal kafka-server/kafka01@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-server/kafka02@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-server/kafka03@NSSPKAFKA.COM				
kadmin.local:  add_principal kafka-client@NSSPKAFKA.COM		#导出账号密钥
kadmin.local: xst -norandkey -k  /root/data/kafka-server1.keytab kafka-server/kafka01@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-server2.keytab kafka-server/kafka02@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-server3.keytab kafka-server/kafka03@NSSPKAFKA.COM
kadmin.local: xst -norandkey -k  /root/data/kafka-client.keytab kafka-client@NSSPKAFKA.COM

3、Kerberos相关配置

拷贝 krb5.conf 及 keytab 文件到所有安装 Kafka 的机器，这里把文件都放到 Kafka 的 config/kerveros 目录下(kerberos 目录需新建)。

[root@kafka01 kerberos]# pwd
/opt/kafka_2.12-3.9.0/config/kerberos
[root@kafka01 kerberos]# ll
total 24
-rw-r--r-- 1 root root  95 Mar 10 15:53 client.properties
-rw-r--r-- 1 root root 246 Mar 10 16:11 kafka-client-jaas.conf
-rw------- 1 root root 379 Mar 10 16:03 kafka-client.keytab
-rw-r--r-- 1 root root 256 Mar 10 16:10 kafka-server-jaas.conf
-rw------- 1 root root 424 Mar 10 16:01 kafka-server.keytab
-rw-r--r-- 1 root root 786 Mar 10 16:10 krb5.conf

4、Kafka服务端配置（server.properties）

#执行命令
[root@kafka01 config]# vim server.properties
#配置文件开启认证
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=GSSAPI
sasl.enabled.mechanisms=GSSAPI
sasl.kerberos.service.name=kafka-server

5、新建 kafka-server-jaas.conf 文件，该文件也放到 Kafka 的 config/kerveros 目录下

[root@kafka01 kerberos]# cat kafka-server-jaas.conf 
KafkaServer {com.sun.security.auth.module.Krb5LoginModule requireduseKeyTab=truekeyTab="/opt/kafka_2.12-3.9.0/config/kerberos/kafka-server.keytab" #这是导出的账号keytab文件 不同的账号不同的文件storeKey=trueuseTicketCache=falseprincipal="kafka-server/kafka01@DATACENTER.COM";      #不同的机器 不同的账号，
};

6、修改 bin/kafka-server-start.sh 脚本，倒数第二行增加如下配置：

#进入启动脚本
[root@kafka01 bin]# vim kafka-server-start.sh #-Dzookeeper.sasl.client=false zk没有开启认证就设置false
export KAFKA_OPTS="-Dzookeeper.sasl.client=false -Dzookeeper.sasl.client.username=zk-server -Djava.security.krb5.conf=/opt/kafka_2.12-3.9.0/config/kerberos/krb5.conf -Djava.security.auth.login.config=/opt/kafka_2.12-3.9.0/config/kerberos/kafka-server-jaas.conf"

客户端配置

7、新建 kafka-client-jaas.conf 文件，该文件也放到 Kafka 的 config/kerveros 目录下。

[root@kafka01 kerberos]# vim kafka-client-jaas.conf
KafkaClient {com.sun.security.auth.module.Krb5LoginModule requireduseKeyTab=truekeyTab="/opt/kafka_2.12-3.9.0/config/kerberos/kafka-client.keytab" #客户端密钥storeKey=trueuseTicketCache=trueprincipal="kafka-client@DATACENTER.COM"; #客户端账号 这里的';' 不能省略
};

该配置主要为了使用 bin/kafka-topics.sh、bin/kafka-console-consumer.sh、kafka-console-producer.sh 等命令

#三个文件倒数第二行 新增以下内容
export KAFKA_OPTS="-Djava.security.krb5.conf=/opt/kafka_2.12-3.9.0/config/kerberos/krb5.conf -Djava.security.auth.login.config=/opt/kafka_2.12-3.9.0/config/kerberos/kafka-client-jaas.conf"

七、启动测试

#查看topic
[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-topics.sh --list --bootstrap-server kafka:9092 --command-config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties#创建topic & 测试链接
[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-topics.sh --create --topic test --partitions 1 --replication-factor 1 --bootstrap-server localhost:9092 --command-config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties
#生产者
[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-console-producer.sh --topic test --bootstrap-server nsspmsg.com:9092 --producer.config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties#消费者
[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-console-consumer.sh --topic test --from-beginning --bootstrap-server nsspmsg.com:9092 --consumer.config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties