サポートコンソール開発者トライアルの開始お問い合わせ

6.4. Kerberos との統合

AMQP プロトコルでメッセージを送受信する場合、クライアントは Simple Authentication and Security Layer (SASL) フレームワークの GSSAPI メカニズムを使用して、AMQ Broker が認証する Kerberos セキュリティー認証情報を送信できます。Kerberos 認証情報は、認証されたユーザーを LDAP ディレクトリーまたはテキストベースのプロパティーファイルで設定された割り当てられたロールにマッピングすることで、承認にも使用できます。

Transport Layer Sockets (TLS) と SASL を併用して、メッセージングアプリケーションのセキュリティーを確保できます。SASL はユーザー認証を行い、TLS はデータの整合性を確保します。

AMQ Broker が Kerberos 認証情報を認証および承認する前に、Kerberos インフラストラクチャーをデプロイし、設定する必要があります。Kerberos のデプロイメントに関する詳細は、オペレーティングシステムのドキュメントを参照してください。たとえば、オペレーティングシステムが RHEL 7 の場合は、システムレベル認証ガイドの Kerberos の使用 の章を参照してください。Windows 用の Kerberos 認証の概要 も利用できます。

注記

AMQ Broker が Kerberos 認証情報を認証および承認する前に、Kerberos インフラストラクチャーをデプロイし、設定する必要があります。

注記

Oracle または IBM JDK のユーザーは、Java Cryptography Extension(JCE) をインストールする必要があります。詳細は、Oracle version of the JCE または IBM version of the JCE のドキュメントを参照してください。

6.4.1. Kerberos を使用するためのネットワーク接続の有効化

AMQ Broker は、Simple Authentication and Security Layer (SASL) フレームワークの GSSAPI メカニズムを使用して、Kerberos セキュリティー認証情報と統合します。AMQ Broker で Kerberos を使用するには、Kerberos 認証情報を使用するクライアントを認証または承認する各 acceptor を GSSAPI メカニズムを使用するように設定する必要があります。

前提条件

AMQ Broker が Kerberos 認証情報を認証および承認する前に、Kerberos インフラストラクチャーをデプロイし、設定する必要があります。

手順

  1. ブローカーを停止します。

    1. ブローカーが Linux で実行されている場合: 

      BROKER_INSTANCE_DIR/bin/artemis stop

    2. ブローカーがサービスとして Windows で実行されている場合: 

      BROKER_INSTANCE_DIR\bin\artemis-service.exe stop
  2. BROKER_INSTANCE_DIR/etc にある broker.xml 設定ファイルを開きます。

  3. 次の例に示すように、名前と値のペア saslMechanisms=GSSAPI を、acceptor の URL のクエリー文字列に追加します。 

    <acceptor name="amqp">
  tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI
</acceptor>

    その結果、Kerberos クレデンシャルの認証時に GSSAPI メカニズムを使用するアクセプターが作成されます。

  4. (オプション) PLAIN および ANONYMOUS SASL メカニズムもサポートされます。GSSAPI に加えてこれらの他のメカニズムを使用する場合は、それらを saslMechanisms のリストに追加します。各値は必ずコンマで区切ります。次の例では、名前と値のペア saslMechanisms=GSSAPI を変更して、値 PLAIN を追加します。 

    <acceptor name="amqp">
  tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN
</acceptor>

    結果は、GSSAPI および PLAIN SASL メカニズムの両方を使用するアクセプターです。

  5. ブローカーを起動します。

    1. ブローカーが Linux で実行されている場合: 

      BROKER_INSTANCE_DIR/bin/artemis run

    2. ブローカーがサービスとして Windows で実行されている場合: 

      BROKER_INSTANCE_DIR\bin\artemis-service.exe start

アクセプターの詳細は、アクセプター を参照してください。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.