Confluent LDAP Authorizer

This is a commercial component of Confluent Platform.

Confluent LDAP Authorizer では、プリンシパル型 Group を使用したグループベースの認可と、プリンシパル型 User を使用したユーザープリンシパルベースの認可が有効になります。Deny ルールがユーザープリンシパルに一致する場合またはユーザーが属するグループに一致する場合は、アクセスが拒否されます。それ以外の場合、Allow ルールがユーザープリンシパルに一致するかユーザーが属するグループに一致すれば、アクセスが許可されます。

構成オプション allow.everyone.if.no.acl.foundtrue に設定して、ユーザーおよびグループに一致する ACL がない場合にアクセスを許可することもできます。

注釈

本稼働環境では allow.everyone.if.no.acl.found 構成オプションを使用しないことを強くお勧めします。

  • ACL があるという前提でこのオプションを指定し、最後の ACL が削除される場合、実質的にすべてのユーザーに対して Kafka クラスターを開きます。
  • このオプションを使用して ACL を無効にする場合は、次の点に注意してください。ACL が追加されると、以前にアクセス権を持っていたすべてのユーザーがそのアクセス権を失います。

構成オプション super.users を使用すると、すべてのリソースにアクセスできるスーパーユーザーまたはスーパーグループを構成できます。これには、ユーザープリンシパルとグループプリンシパルを含めることができます。以下に例を示します。

super.users=User:kafkaBroker;Group:admin

LDAP サーバーで Kerberos 認証とグループ管理を行っている Kerberos ユーザーは、認証とグループベースの認可の両方に同じ LDAP サーバー(Active Directory や Apache Directory Server など)を使用できます。他のセキュリティプロトコルまたは SASL メカニズムを使用しているブローカーで、認証に LDAP サーバーを使用せずに、LDAP を使用したグループベースの認可を使用することもできます。