5.5.3. Kerberos 자격 증명을 사용하여 클라이언트 인증
AMQ Broker에는 역할을 매핑할 때 다른 보안 모듈에서 사용할AS Krb5LoginModule 로그인 모듈 구현이 포함되어 있습니다. 이 모듈은 Kerberos 인증 피어 보안 주체를 AMQ Broker UserPrincipal으로 주체의 보안 주체 집합에 추가합니다. 그러면 Kerberos 인증 피어 보안 주체를 AMQ Broker 역할에 매핑하는 PropertiesLoginModule 또는 LDAPLoginModule 모듈에 인증 정보를 전달할 수 있습니다.
Kerberos Peer Principal은 역할 멤버로만 브로커 사용자로 존재하지 않습니다.
사전 요구 사항
- Kerberos 보안 자격 증명을 사용하여 AMQP 연결을 승인하려면 수락자의 GSSAPI 메커니즘을 활성화해야 합니다.
절차
브로커를 중지합니다.
Linux의 경우:
<broker_instance_dir>/bin/artemis stopWindows에서:
<broker_instance_dir>\bin\artemis-service.exe stop
-
<
broker_instance_dir> /etc/login.config구성 파일을 엽니다. AMQ Broker
Krb5LoginModule및LDAPLoginModule에 대한 구성을 추가합니다. LDAP 공급자의 문서를 참조하여 구성 옵션을 확인합니다.예제 구성은 다음과 같습니다.
org.apache.activemq.artemis.spi.core.security.jaas.Krb5LoginModule required ; org.apache.activemq.artemis.spi.core.security.jaas.LDAPLoginModule optional initialContextFactory=com.sun.jndi.ldap.LdapCtxFactory connectionURL="ldap://localhost:1024" authentication=GSSAPI saslLoginConfigScope=broker-sasl-gssapi connectionProtocol=s userBase="ou=users,dc=example,dc=com" userSearchMatching="(krb5PrincipalName={0})" userSearchSubtree=true authenticateUser=false roleBase="ou=system" roleName=cn roleSearchMatching="(member={0})" roleSearchSubtree=false ;참고위 예에 표시된
Krb5LoginModule버전은 AMQ Broker와 함께 배포되며, 역할 매핑을 위해 다른 AMQ 모듈에서 사용할 수 있는 브로커 ID로 Kerberos ID를 변환합니다.브로커를 시작합니다.
Linux의 경우:
<broker_instance_dir>/bin/artemis runWindows에서:
<broker_instance_dir>\bin\artemis-service.exe start
추가 리소스
- AMQ Broker에서 GSSAPI 메커니즘 활성화에 대한 자세한 내용은 5.5.1절. “Kerberos를 사용하도록 네트워크 연결 구성” 을 참조하십시오.
-
PropertiesLoginModule에 대한 자세한 내용은 5.2.2.1절. “기본 사용자 및 암호 인증 구성” 를 참조하십시오. -
LDAPLoginModule에 대한 자세한 내용은 5.4.1절. “클라이언트 인증을 위해 LDAP 구성” 을 참조하십시오.
