Kafka制作人/ consuper主题未获授权

时间:2019-04-06 16:07:38

标签: apache-kafka

每当我尝试将kafka连接到生产者/消费者时,我都会得到“未获得主题[test2]的授权”

如果我关闭了授权,则可以成功通过身份验证,因此身份验证有效,只有授权不起作用。

使用kafka.security.auth.SimpleAclAuthorizer的ACL授权不起作用。

config / server.properties 

authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
listeners=SASL_PLAINTEXT://kafka3:9092
security.inter.broker.protocol= SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
delete.topic.enable=false

logs / kafka-authorizer 

[2019-04-06 13:24:05,693] DEBUG No acl found for resource Topic:LITERAL:test2, authorized = false (kafka.authorizer.logger) [2019-04-06 13:24:05,695] INFO Principal = User:alice is Denied Operation = Describe from host = 10.0.9.20 on resource = Topic:LITERAL:test2(kafka.authorizer.logger)uper.users=User:admin

服务器的jaas文件:

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin"
    user_admin="admin"
    user_alice="alice";
};

bin / kafka-server-start.sh 

$base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=$base_dir/../config/jaas-kafka-server.conf kafka.Kafka "$@"

acl输出:

Current ACLs for resource `Topic:LITERAL:test2`:
    User:alice has Allow permission for operations: Write from hosts: *

2 个答案:

答案 0 :(得分:1)

用户alice当前仅被授权访问该主题的Write。您可能还希望添加ACL DescribeRead,以便能够正确地产生和使用现有主题。

在向主题添加ACL时,kafka-acls工具提供便捷选项--consumer--producer。否则,您可以使用--operation添加特定操作,例如Describe。通过添加Describe,您将删除在logs/kafka-authorizer中当前看到的日志。

答案 1 :(得分:1)

由于您希望通过打开ACL来消费和产生来自特定主题的消息,因此您需要在该主题上应用ACL来消费和产生对其的消息。您需要通过像kafka这样的超级用户来完成此操作。

登录到kafka代理,然后使用以下命令:

sudo su-kafka

kinit -kt /path/to/keytabs/kafka.service.keytab kafka / serviceprincipal name @域名   (您可以从kafka jaas文件中获取它)

然后从kafka目录执行以下命令:

bin / kafka-acls --add --allow-principal用户:* --consumer --topic test2 --authorizer-properties zookeeper.connect =:2181 --group *

类似地,制作人可以将消息推送到主题:

bin / kafka-acls.sh --add --allow-principal用户:* --producer --topic test2 --authorizer-properties zookeeper.connect =:2181

Above命令将ACL应用于所有用户。您可以通过在命令中指定单个用户名而不是'*'来限制它。

**请记住,在安装kafka的过程中,bin目录中除了kafka之外,您不应具有任何文本文件或其他文件。

要获取有关ACL(添加/删除,列出)的更多信息,请访问以下链接:

https://docs.confluent.io/current/kafka/authorization.html

相关问题
最新问题