Confluent LDAP Authorizer¶
This is a commercial component of Confluent Platform.
Confluent LDAP Authorizer では、プリンシパル型 Group
を使用したグループベースの認可と、プリンシパル型 User
を使用したユーザープリンシパルベースの認可が有効になります。Deny
ルールがユーザープリンシパルに一致する場合またはユーザーが属するグループに一致する場合は、アクセスが拒否されます。それ以外の場合、Allow
ルールがユーザープリンシパルに一致するかユーザーが属するグループに一致すれば、アクセスが許可されます。
構成オプション allow.everyone.if.no.acl.found
を true
に設定して、ユーザーおよびグループに一致する ACL がない場合にアクセスを許可することもできます。
注釈
本稼働環境では allow.everyone.if.no.acl.found
構成オプションを使用しないことを強くお勧めします。
- ACL があるという前提でこのオプションを指定し、最後の ACL が削除される場合、実質的にすべてのユーザーに対して Kafka クラスターを開きます。
- このオプションを使用して ACL を無効にする場合は、次の点に注意してください。ACL が追加されると、以前にアクセス権を持っていたすべてのユーザーがそのアクセス権を失います。
構成オプション super.users
を使用すると、すべてのリソースにアクセスできるスーパーユーザーまたはスーパーグループを構成できます。これには、ユーザープリンシパルとグループプリンシパルを含めることができます。以下に例を示します。
super.users=User:kafkaBroker;Group:admin
LDAP サーバーで Kerberos 認証とグループ管理を行っている Kerberos ユーザーは、認証とグループベースの認可の両方に同じ LDAP サーバー(Active Directory や Apache Directory Server など)を使用できます。他のセキュリティプロトコルまたは SASL メカニズムを使用しているブローカーで、認証に LDAP サーバーを使用せずに、LDAP を使用したグループベースの認可を使用することもできます。