Kafka2.2.0 с SASL-SCRAM - SSL-узел не аутентифицирован, вместо этого возвращается ANONYMOUS - PullRequest
Новая
       32

Kafka2.2.0 с SASL-SCRAM - SSL-узел не аутентифицирован, вместо этого возвращается ANONYMOUS

0 голосов
/ 11 октября 2019

Kafka Одноранговый узел SSL не аутентифицирован, вместо него возвращается ошибка ANONYMOUS при подключении клиента через порт SASL брокера, он разрешает подключение через порты PLAINTEXT или SSL.

У меня есть kafka 2.2.0в системах Windows с включенным SSL, где открытый текст брокера kafka работает на 9092 и SSL на 9093. Кроме того, SASL с механизмом SCRAM настроен с портом слушателя как 9094 , что в результате приводит к ошибке какупоминается в сводке проблемы при запуске файла производителя как kafka-console-provider.bat --broker-list localhost: 9094 --topic xxx

Вот конфигурации SASL, не предоставленодругие конфигурации, такие как базовая и SSL

zookeeper.properties 

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

server.properties 

listeners=PLAINTEXT://0.0.0.0:9092,SSL://0.0.0.0:9093,SASL_SSL://0.0.0.0:9094
advertised.listeners=PLAINTEXT://localhost:9092,SSL://localhost:9093,SASL_SSL://localhost:9094
sasl.enabled.mechanisms=SCRAM-SHA-256
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256

zookeeper_server_jaas.conf 

Server {
   org.apache.kafka.common.security.scram.ScramLoginModule required
   username="admin"
   password="admin-pwd"
   user_admin="admin-pwd"
   user_other1="other1-pwd"
   user_other2="other2-pwd";
};

Manufacturer.properties 

security.protocol=SSL

kafka_server_jaas.conf 

KafkaServer {
   org.apache.kafka.common.security.scram.ScramLoginModule required
   username="admin"
   password="admin-pwd";
};
Client {
   org.apache.kafka.common.security.plain.PlainLoginModule required
   username="admin"
   password="admin-pwd";
};

kafka_client_jaas.conf 

KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin-pwd";
};

Запустите Zookeeper как 

SET ZOO_LOG_DIR=C:/Work/kafka_2.11-2.2.0-for-ssl/zookeeper-data
SET KAFKA_HOME=C:/Work/kafka_2.11-2.2.0-for-ssl
set KAFKA_OPTS=-Djava.security.auth.login.config=%KAFKA_HOME%/config/zookeeper_server_jaas.conf
zookeeper-server-start.bat %KAFKA_HOME%/config/zookeeper.properties

Запустите кафку как 

set KAFKA_HOME=C:/Work/kafka_2.11-2.2.0-for-ssl
set KAFKA_OPTS=-Djava.security.auth.login.config=%KAFKA_HOME%/config/kafka_server_jaas.conf
kafka-server-start.bat %KAFKA_HOME%/config/server.properties

Запустите источник как 

SET KAFKA_HOME=C:/Work/kafka_2.11-2.2.0-for-ssl
set KAFKA_OPTS=-Djava.security.auth.login.config=%KAFKA_HOME%/config/kafka_client_jaas.conf
kafka-console-producer.bat --broker-list localhost:9094 --topic xxx

Производитель работает только в том случае, если я использую порт брокера как 9092. Я что-то пропустил и закончил с неправильной конфигурацией. Любые входы?

Обновлено:

Вот ошибка при подключении производителя / потребителя

[2019-10-14 15: 39: 42,108] DEBUG [SslTransportLayer channelId = 127.0.0.1: 9094-127.0.0.1: 63848-0 key=sun.nio.ch.SelectionKeyImpl@222a223c] Узел SSL не аутентифицирован, вместо этого возвращается ANONYMOUS (org.apache.kafka.common.network.SslTransportLayer) [2019-10-14 15: 39: 42,108] DEBUG [SslTransportLayer channelId = 127.0.0.1: 9094-127.0.0.1: 63848-0 key=sun.nio.ch.SelectionKeyImpl@222a223c] SSL-квитирование успешно завершеноpeerHost '127.0.0.1' PeerPort 63848 peerPrincipal 'Пользователь: анонимная' CipherSuite 'TLS_DHE_DSS_WITH_AES_256_CBC_SHA256' (org.apache.kafka.common.network.SslTransportLayer) [2019-10-14 15: 39: 42108] ОТЛАДКА Набор SASL состояние сервера HANDSHAKE_OR_VERSIONS_REQUESTво время аутентификации (org.apache.kafka.common.security.authenticator.SaslServerAuthenticator) [2019-10-14 15: 39: 42,108] ОТЛАДКА Обработка запроса Кафки API_VERSIONS во время аутентификации (org.apache.kafka.common.security.authenticator.SaslServerAuthenticator) [2019-10-14 15: 39: 42,108] ОТЛАДКА Установите состояние сервера SASL в HANDSHAKE_REQUEST во время аутентификации (org.apache.kafka.common.security.authenticator.SaslServerAuthenticator)-10-14 15: 39: 42,108] ОТЛАДКА Установите состояние сервера SASL в состояние СБОЙ во время аутентификации (org.apache.kafka.common.security.authenticator.SaslServerAuthenticator) [2019-10-14 15: 39: 42,108] ИНФОРМАЦИЯ [SocketServer brokerId= 0] Ошибка аутентификации с 127.0.0.1/127.0.0.1 (неожиданный запрос Kafka типа METADATA во время рукопожатия SASL.) (Org.apache.kafka.common.network.Selector)

1 Ответ

0 голосов
/ 16 октября 2019

У меня была такая же проблема. Аутентификация с помощью SASL SCRAM не работала в версиях 2.2.x и 2.3.x Kafka. На 2.1 все было в порядке.

В конце концов, я решил проблему, указав путь к корню zookeeper ( / kafkaTest ) при создании принципалов: 

./kafka-configs --zookeeper zookeeper-01:2181/kafkaTest --alter --add-config 'SCRAM-SHA-256=[password=admin-secret],SCRAM-SHA-512=[password=admin-secret]' --entity-type users --entity-name admin

Похоже, когдаУчетные данные создаются в корневом пути zookeeper, Kafka не может найти их для проверки.

Надеюсь, это также решит вашу проблему!

...