Уважаемые, подскажите пожалуйста. Надо настроить безопасность на Кафке. Надо чтобы

клиенты приходили с логином-паролём, а брокеры должны проводить аутентификацию через Active Directory. Не через кейтабы. Может у кого есть гайд или хотя бы направление - на чём подобное (если) можно организовать?

Если платный конфлюэнт - там есть в стандартной поставке. Если оперсурсная кафка - надо писать свой хэндлер. Вот тут есть чо-то похожее, но не знаю, насколько оно адекватное https://github.com/instaclustr/kafka-ldap-integration

Спасибо, я видел про платный. Не знал что есть альтернативы бесплатные. Думал что-то из серии oathbearer+keycloack+ad можно как-то "поженить"

Тут где то мелькал плагин для подключения к ldap, кто то его даже юзал. Я попробовал подключить, оно сработало, но криво, ковыряться сильно не стал. Планирую через keycloak в дальнейшем пробовать подключить к ad.

А есть гайд?

Еще не гуглил особо, но вроде есть статьи какие то

Понял, будем в эту сторону копать

https://github.com/sverrehu/simplest-possible-kafka-sasl-plaintext-ldap-authenticator

https://developers.redhat.com/articles/2022/05/04/use-red-hats-sso-manage-kafka-broker-authorization#video_demonstration

но если честно проще уволить СТО, пользователям нечего делать в кафке

Пользователи это видимо в контексте вопроса "клиенты", могут быть и не людьми :)

Если это клиенты, тогда в двойне уволить СТО, ибо гарантировать sla судя по вопросу там не смогут

Клиенты не в смысле customer, а в смысле client где Кафка - server.

И зачем там AD обязательно? Для сервисов смысла с ad 0, кейлоак и серты лучше в разы, а тут походу явно хотят всяких аналитиков и программистов запустить

Централизованная система, вай нот! Все principals в одном месте.

Везде сервисы через логин пароль? В 2023 году вместо сертов и волта?

Это уже другой вопрос.

Я мало верю в сервисы, я в прошлом году сам видел не очень адекватных людей которые 400 людям учетки для Кафки хотели

🥃👍