Oracle Cloud Infrastructure-Dokumentation

SASL/SCRAM konfigurieren

OCI Streaming mit Apache Kafka unterstützt SCRAM-SHA-512.

Die SASL/SCRAM-Authentifizierung gewährleistet die Sicherheit mit Benutzername- und Kennwortzugangsdaten. SCRAM verwendet gesalzene Passwörter und kryptografische Hashing-Algorithmen zum Schutz der Benutzerzugangsdaten. Zugangsdaten werden nicht im Klartext gespeichert oder übertragen.

Erstellen Sie die erforderlichen IAM-Policys, und führen Sie dann die folgenden Aufgaben aus, um die SASL/SCRAM-Authentifizierung für ein Kafka-Cluster zu konfigurieren.

  1. Anmeldezugangsdaten in OCI Vault erstellen
  2. Kafka-Cluster mit erstellten Zugangsdaten aktualisieren
  3. Kafka-Clients für die Verwendung sicherer Zugangsdaten konfigurieren

Erforderliche IAM-Policys

Fügen Sie die folgenden Policy-Anweisungen hinzu, bevor Sie die SASL/SCRAM-Authentifizierung für ein Kafka-Cluster konfigurieren.

allow service rawfka to {SECRET_UPDATE} in compartment <compartment>
allow service rawfka to use secrets in compartment <compartment> where request.operation = 'UpdateSecret'

Zugangsdaten in Vault erstellen

Mit dem OCI Vault-Service können Sie sichere Benutzerzugangsdaten erstellen.

  1. Erstellen Sie einen Vault, wenn noch kein Vault vorhanden ist.
  2. Erstellen Sie einen Masterverschlüsselungsschlüssel im Vault, der zur Verschlüsselung des Secrets verwendet werden soll.
  3. Erstellen Sie ein Secret im Vault. Für das Kafka-Cluster muss das Secret mit der Methode Manuelle Secret-Generierung erstellt werden. Wenn Sie das Secret manuell rotieren, müssen Sie auch SASL SCRAM aktualisieren für das Cluster. Anderenfalls verwendet das Kafka-Cluster weiterhin das alte Secret, da aktualisierte Secret-Versionen nicht automatisch erkannt oder synchronisiert werden können, was zu Authentifizierungsfehlern führt.

SASL/SCRAM für das Kafka-Cluster aktualisieren

Aktualisieren Sie das Kafka-Cluster mit den erstellten oder aktualisierten sicheren Zugangsdaten.

    1. Wählen Sie auf der Listenseite Kafka-Cluster das Cluster aus, mit dem Sie arbeiten möchten.
    2. Wählen Sie auf der Detailseite das Menü "Aktionen" und dann SASL SCRAM aktualisieren aus.
    3. Wählen Sie im Bereich SASL-SCRAM aktualisieren den Vault mit den sicheren Zugangsdaten aus.
    4. Wählen Sie das Secret im Tresor aus.
    5. Wählen Sie Aktualisieren aus.

  • Verwenden Sie den Befehl cluster enable-superuser und die erforderlichen Parameter, um SASL/SCRAM-Eigenschaften in einer Clusterkonfiguration hinzuzufügen:

    oci kafka cluster enable-superuser --compartment-id <compartment-ocid> --kafka-cluster-id <cluster-ocid> --secret-id <secret-ocid>

    Erforderliche Option

    <Compartment-ocid>
    Die OCID des Compartments, in dem das Vault Secret erstellt wird.
    <Cluster-OCID>
    Die OCID des Kafka-Clusters, in dem die SASL/SCRAM-Zugangsdaten aktualisiert werden müssen.
    <Secret-ID>
    Die OCID des Vault Secrets, in dem neue Zugangsdaten aktualisiert werden müssen.

    Verwenden Sie den Befehl cluster disable-superuser und die erforderlichen Parameter, um SASL/SCRAM-Eigenschaften in einer Clusterkonfiguration zu entfernen:

    oci kafka cluster disable-superuser  --kafka-cluster-id <cluster-ocid>

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang enableSuperuser aus, um die SASL/SCRAM-Zugangsdaten für das Kafka-Cluster hinzuzufügen oder zu aktualisieren.

Kafka-Clients konfigurieren

Um mit SASL/SCRAM eine Verbindung zu einem Kafka-Cluster herzustellen, müssen Sie die Kafka-Client-Eigenschaftendatei aktualisieren.

Erstellen Sie eine client.properties-Datei mit den folgenden Informationen: 
security.protocol=SASL_SSL
sasl.mechanism=SCRAM-SHA-512
ssl.truststore.location=/path/to/truststore.jks
ssl.truststore.password=<your-truststore-password>
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="<your-username>" password="<your-password>";