Documentazione dell'infrastruttura Oracle Cloud

Configurazione di SASL/SCRAM

OCI Streaming con Apache Kafka supporta SCRAM-SHA-512.

L'autenticazione SASL/SCRAM garantisce la sicurezza utilizzando le credenziali di nome utente e password. Per proteggere le credenziali utente, SCRAM utilizza password salate e algoritmi di hashing crittografici. Le credenziali non vengono memorizzate o trasmesse in testo semplice.

Creare i criteri IAM richiesti, quindi completare i task riportati di seguito per configurare l'autenticazione SASL/SCRAM per un cluster Kafka.

  1. Crea credenziali di accesso in OCI Vault
  2. Aggiornare il cluster Kafka con le credenziali create
  3. Configurare i client Kafka per l'uso delle credenziali sicure

Criteri IAM necessari

Aggiungere le istruzioni dei criteri seguenti prima di configurare l'autenticazione SASL/SCRAM per un cluster Kafka.

allow service rawfka to {SECRET_UPDATE} in compartment <compartment>
allow service rawfka to use secrets in compartment <compartment> where request.operation = 'UpdateSecret'

Creazione delle credenziali nel vault

Utilizzare il servizio OCI Vault per creare credenziali utente sicure.

  1. Creare un vault, se non lo si dispone già.
  2. Creare una chiave di cifratura master nel vault da utilizzare per cifrare il segreto.
  3. Creare un segreto nel vault. Per il cluster Kafka, il segreto deve essere creato con il metodo di generazione manuale dei segreti. Ogni volta che si ruota manualmente il segreto, è necessario anche aggiornare SASL SCRAM per il cluster. In caso contrario, il cluster Kafka continua a utilizzare il vecchio segreto, in quanto non è in grado di rilevare o sincronizzare automaticamente le versioni segrete aggiornate, con conseguenti errori di autenticazione.

Aggiornamento di SASL/SCRAM per il cluster Kafka

Aggiornare il cluster Kafka con le credenziali di sicurezza create o aggiornate.

    1. Nella pagina della lista Cluster Kafka selezionare il cluster che si desidera utilizzare.
    2. Nella pagina dei dettagli, selezionare il menu Azioni, quindi selezionare Aggiorna SCRAM SASL.
    3. Nel pannello Update SASL SCRAM selezionare il vault con le credenziali sicure.
    4. Selezionare il segreto nel vault.
    5. Selezionare Aggiorna.

  • Utilizzare il comando cluster enable-superuser e i parametri richiesti per aggiungere le proprietà SASL/SCRAM in una configurazione cluster:

    oci kafka cluster enable-superuser --compartment-id <compartment-ocid> --kafka-cluster-id <cluster-ocid> --secret-id <secret-ocid>

    Opzioni obbligatorie

    <ocid compartimento>
    OCID del compartimento in cui viene creato il segreto vault.
    <cluster-ocid>
    OCID del cluster Kafka in cui è necessario aggiornare le credenziali SASL/SCRAM.
    <id-segreto>
    OCID del segreto vault in cui è necessario aggiornare le nuove credenziali.

    Utilizzare il comando cluster disable-superuser e i parametri necessari per rimuovere le proprietà SASL/SCRAM in una configurazione cluster.

    oci kafka cluster disable-superuser  --kafka-cluster-id <cluster-ocid>

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione enableSuperuser per aggiungere o aggiornare le credenziali SASL/SCRAM per il cluster Kafka.

Configurazione dei client Kafka

Per connettersi a un cluster Kafka utilizzando SASL/SCRAM, è necessario aggiornare il file delle proprietà del client Kafka.

Creare un file client.properties con le seguenti informazioni: 
security.protocol=SASL_SSL
sasl.mechanism=SCRAM-SHA-512
ssl.truststore.location=/path/to/truststore.jks
ssl.truststore.password=<your-truststore-password>
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="<your-username>" password="<your-password>";