如何让Kafka纯认证更安全?
我对Kafka身份验证的不同协议和机制感到困惑。
类似于这里的这个问题:
是否可以为Kafka提供自定义登录模块以支持 LDAP?
我已经制作了自己的普通登录模块,它使用LDAP来验证客户端提供的用户名/密码。
有什么办法让我更安全吗?发送明文密码进行身份验证似乎不安全。如果可能的话,我也不希望在客户端jaas文件中使用明文密码。
如果我使用SSL,我还可以使用LDAP服务器进行身份验证吗?kafka配置会如何更改。当前conf:
listeners=SASL_PLAINTEXT://:9092
advertised.listeners = SASL_PLAINTEXT://kafka:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
共有2个答案
是的,您可以使用SASL_SSL侦听器。这将使用 SASL 进行身份验证,然后加密使用 SSL 发送的数据。如果需要更安全的身份验证,应考虑使用 GSSAPI SASL 机制。ldap 和 Kerberos 集成是一种常见的做法,然后您就没有公开的凭据。
如何使其更安全,您有两种选择:
-
< li >使用SASL_SSL侦听器将SASL验证打包到SSL加密中。您仍然可以通过自定义模块使用LDAP。 < li >使用更安全的SASL机制之一。简单机制将通过不安全的网络发送密码。您可以使用一种支持的SCRAM机制,这种机制不会通过网络发送密码,而是使用更复杂的握手方式。Kafka支持SCRAM-SHA-256和SCRAM-SHA-512。然而,急停机制不会与LDAP一起工作——它们将凭证(而不是直接密码)存储在Zookeeper中。急停机制当然也可以与SSL结合。
-
gRPC 被设计成可以利用插件的形式支持多种授权机制。本文档对多种支持的授权机制提供了一个概览,并且用例子来论述对应API,最后就其扩展性作了讨论。 马上将会推出更多文档和例子。 支持的授权机制 SSL/TLS gRP 集成 SSL/TLS 并对服务端授权所使用的 SSL/TLS 进行了改良,对客户端和服务端交换的所有数据进行了加密。对客户端来讲提供了可选的机制提供凭证来获得共同的授权。 OAut
-
Cookies 和 secure cookies 你可以使用 set_cookie 方法在用户的浏览器中设置 cookies: class MainHandler(tornado.web.RequestHandler): def get(self): if not self.get_cookie("mycookie"): self.set_cooki
-
包括平台认证体系架构和安全告警等内容。 认证体系 认证体系主要包括认证源、域、项目、组、用户、权限、角色等信息。 安全告警 安全告警即实时监测系统中的安全告警事件,如异常登录等,当发现安全问题后,将会及时通知管理员用户进行处理等。
-
介绍安全检查、安全告警、操作日志的内容。 安全检查 平台会根据系统内置规则扫描下图中的安全性较低的资源,用户可以按照费用优化处理资源,提升平台资源的安全性。详情请参考认证与安全-安全检查。 安全告警 安全告警即实时监测系统中的安全告警事件,如异常登录等,当发现安全问题后,将会及时通知管理员用户进行处理等。目前仅支持异常登录的安全告警事件,当用户连续登录失败后被锁定将会发送安全告警记录发送给锁定用户
-
我正在Java一个使用来自Kafka集群的数据的管道,它可在 https://github.com/confluentinc/confluent-google-examples/blob/master/ccloud-dataflow-demo/entry-df-pipeline/src/main/java/com/ecuevas/DataflowPipeline.java 根据存储库,定义了和:
-
最后,我实现了UserDetailsService接口