当前位置: 首页 > 知识库问答 >
问题:

Kafka SASL_PLAINTEXT与 GSSAPI for kerberos

公孙志
2023-03-14

我正在尝试使用明文SASL和GSSAPI运行单个kafka服务器,但出现以下错误。

[2018-10-03 16:08:54,220]错误 [控制器 id=0,目标BrokerId=0] 评估从 Kafka 代理收到的 SASL 令牌时,发生了到节点 0 的连接失败身份验证,原因如下:(java.security.特权操作异常:javax.security.sasl.Sasl异常:GSS 启动失败 [由 GSS 异常导致:未提供有效的凭据])。Kafka客户端将进入AUTHENTICATION_FAILED状态。(org.apache.kafka.clients.NetworkClient)

在 服务器 中,属性更改包括:

listeners=SASL_PLAINTEXT://kafka.example.com:9095
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=GSSAPI
advertised.listeners=SASL_PLAINTEXT://kafka.example.com:9095
sasl.enabled.mechanism=GSSAPI
sasl.kerberos.service.name=HTTP

这是我的 jaas 配置:

KafkaServer {
    com.sun.security.auth.module.Krb5LoginModule required
    useKeyTab=true
    useTicketCache=true
    storeKey=true
    keyTab="/home/kafka/kafka_server.keytab"
    principal="HTTP/kafka.example.com@UNIX.EXAMPLE.COM";
};

有解决这个问题的线索吗?

共有1个答案

狄兴邦
2023-03-14

首先,使用KeyTab(useKeyTab=true)或使用TicketCache(useTicketCache=true)。不要同时使用两者。这可能会导致冲突。

如果你有自己的路缘石,为Kafka制定原则

sudo /usr/sbin/kadmin.local-q'addprinc-randkey kafka/{主机名}@{REALM}'sudo /usr/sbin/kadmin.local-q"ktadd-k /etc/security/keytabs/{keytabname}. keytab kafka/{主机名}@{REALM}"

使用

sasl.kerberos.service.name=“kafka”

设置JVM参数

export KAFKA_OPTS=“-Djava.security.auth.login.config=/path/path/to/jaas.conf -Djava.security.krb5.conf=/etc/etc/krb5.conf -Dsun.security.krb5.debug=true”

希望这能有所帮助。

 类似资料:
  • 在C语言中,假设每个算法被赋予完全相同的一组进程,那么先到先得、最短作业优先和循环之间的周转时间是否相等?还是调度算法不同?

  • 问题内容: 为了为 HTML5 Doctype 定义字符集,我应该使用哪种表示法? 短: 长: 问题答案: 在HTML5中,它们是等效的。使用较短的一个,更容易记住和键入。浏览器支持很好,因为它是为向后兼容而设计的。

  • 连接的多个输入都相当于Yes的时候才会输出Yes。 用法 Your browser does not support the video tag. 案例:小闹钟 功能:今天15:10:00,响起猫叫声小闹钟 工作原理 当所有的输入都是Yes的时候,与节点才输出Yes。

  • 问题内容: 似乎有三种 相同的 方法可以独立于平台获取依赖于平台的“文件分隔符”: 我们如何决定何时使用哪个? 它们之间甚至有什么区别吗? 问题答案: 可以通过调用命令行参数或使用命令行参数覆盖 获取默认文件系统的分隔符。 获取默认文件系统。 获取文件系统的分隔符。请注意,作为一种实例方法,在需要代码在一个JVM中对多个文件系统进行操作的情况下,可以使用该方法将不同的文件系统传递给代码(而不是默认

  • 问题内容: 我今天刚刚与一些同事讨论了python的db-api fetchone vs fetchmany vs fetchall。 我确定每个应用程序的用例都取决于我正在使用的db-api的实现,但是总的来说,fetchone,fetchmany,fetchall的用例是什么? 换句话说,以下等效项是什么?还是其中之一比其他人更受青睐?如果是这样,在哪些情况下? 问题答案: 我认为这确实取决于

  • 问题内容: 即时创建元素并能够移动元素的最佳方法是什么?例如,假设我要创建一个矩形,圆形和多边形,然后选择这些对象并四处移动。 我了解HTML5提供了三个使之成为可能的元素:svg,canvas和div。对于我想做什么,这些元素中的哪一个将提供最佳性能? 为了比较这些方法,我正在考虑创建三个视觉上相同的网页,每个网页中都有页眉,页脚,小部件和文本内容。第一页中的小部件将完全使用元素创建,第二页中的

  • 问题内容: 之间有什么区别,和? 问题答案: 将等待,直到所有资产完成下载为止,例如图像和脚本。 DOM准备就绪,直到您可以通过API访问DOM为止。 作为一个方面说明,在当今这个时代,你应该使用或较旧的IE。