5.2. 클라이언트 인증
5.2.1. 클라이언트 인증 방법
브로커에서 클라이언트 인증을 구성하려면 다음 방법을 사용할 수 있습니다.
- 사용자 이름 및 암호 기반 인증
다음 옵션 중 하나를 사용하여 사용자 인증 정보를 직접 검증합니다.
- 브로커에 로컬로 저장된 속성 파일 세트에 대해 인증 정보를 확인합니다. 브로커에 대한 제한된 액세스를 허용하고 로그인 모듈을 결합하여 보다 복잡한 사용 사례를 지원하는 게스트 계정을 구성할 수도 있습니다.
- 중앙 X.500 디렉터리 서버에 저장된 사용자 데이터에 대해 클라이언트 자격 증명을 확인하도록 LDAP( Lightweight Directory Access Protocol ) 로그인 모듈을 구성합니다.
- 인증서 기반 인증
- 브로커와 클라이언트가 상호 인증을 위해 인증서를 제공하도록 양방향 TLS( Transport Layer Security )를 구성합니다. 관리자는 승인된 클라이언트 사용자 및 역할을 정의하는 속성 파일도 구성해야 합니다. 이러한 속성 파일은 브로커에 저장됩니다.
- Kerberos 기반 인증
- SASL( Simple Authentication and Security Layer ) 프레임워크의 GSSAPI 메커니즘을 사용하여 클라이언트의 Kerberos 보안 자격 증명을 인증하도록 브로커를 구성합니다.
다음 섹션에서는 사용자 및 암호 기반 인증과 인증서 기반 인증을 모두 구성하는 방법을 설명합니다.
추가 리소스
LDAP 및 Kerberos의 완전한 인증 및 권한 부여 워크플로에 대한 자세한 내용은 다음을 참조하십시오.
5.2.2. 속성 파일을 기반으로 사용자 및 암호 인증 구성
AMQ Broker는 주소를 기반으로 큐에 보안을 적용하기 위한 유연한 역할 기반 보안 모델을 지원합니다. 대기열은 일대일(point-to-point 메시징의 경우) 또는 many-to-one(publish-subscribe 메시징의 경우)에 바인딩됩니다. 메시지가 주소로 전송되면 브로커는 해당 주소에 바인딩된 대기열 세트를 조회하고 메시지를 해당 대기열 세트로 라우팅합니다.
기본 사용자 및 암호 인증이 필요한 경우 PropertiesLoginModule 을 사용하여 정의합니다. 이 로그인 모듈은 브로커에 로컬로 저장된 다음 구성 파일에 대해 사용자 인증 정보를 확인합니다.
artemis-users.properties- 사용자 및 해당 암호를 정의하는 데 사용됩니다.
artemis-roles.properties- 역할을 정의하고 해당 역할에 사용자를 할당하는 데 사용됩니다.
login.config- 사용자 및 암호 인증 및 게스트 액세스에 대한 로그인 모듈을 구성하는 데 사용됩니다.
artemis-users.properties 파일은 보안을 위해 해시된 암호를 포함할 수 있습니다.
다음 섹션에서는 구성 방법을 보여줍니다.
5.2.2.1. 기본 사용자 및 암호 인증 구성
다음 절차에서는 기본 사용자 및 암호 인증을 구성하는 방법을 보여줍니다.
프로세스
<
;broker_instance_dir> /etc/login.config구성 파일을 엽니다. 기본적으로 새로운 AMQ Broker 7.12 인스턴스의 이 파일에는 다음 행이 포함되어 있습니다.activemq { org.apache.activemq.artemis.spi.core.security.jaas.PropertiesLoginModule sufficient debug=false reload=true org.apache.activemq.jaas.properties.user="artemis-users.properties" org.apache.activemq.jaas.properties.role="artemis-roles.properties"; };ActiveMQ- 구성의 별칭입니다.
org.apache.activemq.artemis.spi.core.security.jaas.PropertiesLoginModule- 구현 클래스입니다.
충분합니다.PropertiesLoginModule에 필요한 성공 수준을 지정하는 플래그입니다. 설정할 수 있는 값은 다음과 같습니다.-
필수: 로그인 모듈이 성공하려면 필요합니다. 인증은 성공 또는 실패와 관계없이 지정된 별칭 아래에 구성된 로그인 모듈 목록을 계속 진행합니다. -
필수 조건: 로그인 모듈이 성공하려면 필수입니다. 오류가 발생하면 애플리케이션에 제어를 즉시 반환합니다. 인증은 지정된 별칭 아래에 구성된 로그인 모듈 목록을 진행하지 않습니다. -
sufficient: 로그인 모듈이 성공할 필요가 없습니다. 성공하면 제어가 애플리케이션으로 돌아가고 인증이 더 진행되지 않습니다. 실패하면 인증 시도에서 지정된 별칭 아래에 구성된 로그인 모듈 목록을 진행합니다. -
선택 사항: 로그인 모듈이 성공할 필요가 없습니다. 인증은 성공 또는 실패 여부에 관계없이 지정된 별칭 아래에 구성된 로그인 모듈 목록을 계속 종료합니다.
-
org.apache.activemq.jaas.properties.user- 로그인 모듈 구현에 대한 사용자 및 암호 집합을 정의하는 속성 파일을 지정합니다.
org.apache.activemq.jaas.properties.role- 사용자를 로그인 모듈 구현을 위해 정의된 역할에 매핑하는 속성 파일을 지정합니다.
-
<
;broker_instance_dir> /etc/artemis-users.properties구성 파일을 엽니다. 사용자를 추가하고 사용자에게 암호를 할당합니다. 예를 들면 다음과 같습니다.
user1=secret user2=access user3=myPassword
-
<
;broker_instance_dir> /etc/artemis-roles.properties구성 파일을 엽니다. 이전에 Artemis
-users.properties 파일에 추가한 사용자에게역할 이름을 할당합니다. 예를 들면 다음과 같습니다.admin=user1,user2 developer=user3
-
<
;broker_instance_dir> /etc/bootstrap.xml구성 파일을 엽니다. 필요한 경우 다음과 같이 보안 도메인 별칭(이 인스턴스에서 activemq)을 파일에 추가합니다.
<jaas-security domain="activemq"/>
5.2.2.2. 게스트 액세스 구성
로그인 인증 정보가 없거나 인증 정보가 실패한 사용자의 경우 게스트 계정을 사용하여 브로커에 대한 제한된 액세스 권한을 부여할 수 있습니다.
명령줄 스위치 --allow-anonymous (- require-login)를 사용하여 게스트 액세스가 활성화된 브로커 인스턴스를 생성할 수 있습니다.
다음 절차에서는 게스트 액세스를 구성하는 방법을 보여줍니다.
사전 요구 사항
- 이 절차에서는 이미 기본 사용자 및 암호 인증을 구성한 것으로 가정합니다. 자세한 내용은 5.2.2.1절. “기본 사용자 및 암호 인증 구성” 에서 참조하십시오.
프로세스
-
이전에 기본 사용자 및 암호 인증을 위해 구성한 <
broker_instance_dir> /etc/login.config구성 파일을 엽니다. 이전에 추가한 속성 로그인 모듈 구성 후 게스트 로그인 모듈 구성을 추가합니다. 예를 들면 다음과 같습니다.
activemq { org.apache.activemq.artemis.spi.core.security.jaas.PropertiesLoginModule sufficient debug=true org.apache.activemq.jaas.properties.user="artemis-users.properties" org.apache.activemq.jaas.properties.role="artemis-roles.properties"; org.apache.activemq.artemis.spi.core.security.jaas.GuestLoginModule sufficient debug=true org.apache.activemq.jaas.guest.user="guest" org.apache.activemq.jaas.guest.role="restricted"; };org.apache.activemq.artemis.spi.core.security.jaas.GuestLoginModule- 구현 클래스입니다.
org.apache.activemq.jaas.guest.user- 익명 사용자에게 할당된 사용자 이름입니다.
org.apache.activemq.jaas.guest.role- 익명 사용자에게 할당된 역할입니다.
사용자가 인증 정보를 제공하는 경우 이전 구성에 따라 사용자 및 암호 인증 모듈이 활성화됩니다. 사용자가 인증 정보를 제공하지 않거나 제공된 인증 정보가 올바르지 않은 경우 게스트 인증이 활성화됩니다.
5.2.2.2.1. 게스트 액세스 예
다음 예제에서는 인증 정보가 없는 사용자만 게스트로 로그인되는 사용 사례에 대한 게스트 액세스 구성을 보여줍니다. 이 예제에서 로그인 모듈의 순서가 이전 구성 프로시저와 비교되어 있는지 확인합니다. 또한 properties 로그인 모듈에 연결된 플래그가 필수 로 변경됩니다.
activemq {
org.apache.activemq.artemis.spi.core.security.jaas.GuestLoginModule sufficient
debug=true
credentialsInvalidate=true
org.apache.activemq.jaas.guest.user="guest"
org.apache.activemq.jaas.guest.role="guests";
org.apache.activemq.artemis.spi.core.security.jaas.PropertiesLoginModule requisite
debug=true
org.apache.activemq.jaas.properties.user="artemis-users.properties"
org.apache.activemq.jaas.properties.role="artemis-roles.properties";
};이전 구성에 따라 로그인 인증 정보가 제공되지 않으면 게스트 인증 모듈이 활성화됩니다.
이 사용 사례의 경우 게스트 로그인 모듈 구성에서 credentialsInvalidate 옵션을 true 로 설정해야 합니다.
인증 정보가 제공되면 properties 로그인 모듈이 활성화됩니다. 자격 증명은 유효해야 합니다.
추가 리소스
-
JAAS( Java Authentication and Authorization Service )에 대한 자세한 내용은 Java 벤더의 설명서를 참조하십시오. 예를 들어
login.config구성에 대한 Oracle 튜토리얼은 Oracle Java 문서의 JAAS 로그인 구성 파일을 참조하십시오. - 클라이언트 인증 정보를 검증하기 위해 LDAP 로그인 모듈을 구성하는 방법을 알아보려면 5.4.1절. “클라이언트 인증을 위해 LDAP 구성” 를 참조하십시오.
- 구성 파일에서 암호를 암호화하는 방법에 대한 자세한 내용은 5.9.2절. “구성 파일에서 암호 암호화” 을 참조하십시오.
5.2.3. 인증서 기반 인증 구성
JAAS( Java Authentication and Authorization Service ) 인증서 로그인 모듈은 TLS(Transport Layer Security)를 사용하는 클라이언트에 대한 인증 및 권한 부여를 처리합니다. 이 모듈을 사용하려면 양방향 TLS( Transport Layer Security )를 사용하고 클라이언트가 자체 인증서로 구성해야 합니다. 인증은 JAAS 인증서 로그인 모듈이 아닌 TLS 핸드셰이크 중에 수행됩니다.
인증서 로그인 모듈의 역할은 다음과 같습니다.
- 허용 가능한 사용자 집합을 제한합니다. 관련 속성 파일에 명시적으로 나열된 DN(사용자 고유 이름 )만 인증할 수 있습니다.
- 수신된 사용자 ID와 그룹 목록을 연결합니다. 이는 승인을 용이하게 합니다.
- 들어오는 클라이언트 인증서가 있어야 합니다(기본적으로 클라이언트 인증서의 존재를 선택 사항으로 처리하도록 TLS 계층이 구성됨).
인증서 로그인 모듈은 인증서 DN 컬렉션을 플랫 텍스트 파일 쌍에 저장합니다. 파일은 사용자 이름과 그룹 ID 목록을 각 DN과 연결합니다.
인증서 로그인 모듈은 org.apache.activemq.artemis.spi.core.security.jaas. CryostatFileCertificateLoginModule 클래스에 의해 구현됩니다.
5.2.3.1. 인증서 기반 인증을 사용하도록 브로커 구성
다음 절차에서는 인증서 기반 인증을 사용하도록 브로커를 구성하는 방법을 보여줍니다.
사전 요구 사항
- 양방향 TLS(Transport Layer Security)를 사용하도록 브로커를 구성해야 합니다. 자세한 내용은 5.1.2절. “양방향 TLS 구성”의 내용을 참조하십시오.
프로세스
이전에 브로커 키 저장소로 가져온 사용자 인증서에서 DN(Subject Distinguished Names )을 가져옵니다.
키 저장소 파일의 인증서를 임시 파일로 내보냅니다. 예를 들면 다음과 같습니다.
keytool -export -file <file_name> -alias broker-localhost -keystore broker.ks -storepass <password>
내보낸 인증서의 내용을 출력합니다.
keytool -printcert -file <file_name>출력은 다음과 유사합니다.
Owner: CN=localhost, OU=broker, O=Unknown, L=Unknown, ST=Unknown, C=Unknown Issuer: CN=localhost, OU=broker, O=Unknown, L=Unknown, ST=Unknown, C=Unknown Serial number: 4537c82e Valid from: Thu Oct 19 19:47:10 BST 2006 until: Wed Jan 17 18:47:10 GMT 2007 Certificate fingerprints: MD5: 3F:6C:0C:89:A8:80:29:CC:F5:2D:DA:5C:D7:3F:AB:37 SHA1: F0:79:0D:04:38:5A:46:CE:86:E1:8A:20:1F:7B:AB:3A:46:E4:34:5COwner항목은 주체 DN입니다. 주체 DN을 입력하는 데 사용되는 형식은 플랫폼에 따라 다릅니다. 위의 문자열은 다음과 같이 표시될 수도 있습니다.Owner: `CN=localhost,\ OU=broker,\ O=Unknown,\ L=Unknown,\ ST=Unknown,\ C=Unknown`
인증서 기반 인증을 구성합니다.
<
;broker_instance_dir> /etc/login.config구성 파일을 엽니다. 인증서 로그인 모듈을 추가하고 사용자 및 역할 속성 파일을 참조합니다. 예를 들면 다음과 같습니다.activemq { org.apache.activemq.artemis.spi.core.security.jaas.TextFileCertificateLoginModule debug=true org.apache.activemq.jaas.textfiledn.user="artemis-users.properties" org.apache.activemq.jaas.textfiledn.role="artemis-roles.properties"; };org.apache.activemq.artemis.spi.core.security.jaas.TextFileCertificateLoginModule- 구현 클래스입니다.
org.apache.activemq.jaas.textfiledn.user- 로그인 모듈 구현에 대한 사용자 및 암호 집합을 정의하는 속성 파일을 지정합니다.
org.apache.activemq.jaas.textfiledn.role- 사용자를 로그인 모듈 구현을 위해 정의된 역할에 매핑하는 속성 파일을 지정합니다.
<
;broker_instance_dir> /etc/artemis-users.properties구성 파일을 엽니다. 사용자와 해당 DN은 이 파일에 정의되어 있습니다. 예를 들면 다음과 같습니다.system=CN=system,O=Progress,C=US user=CN=humble user,O=Progress,C=US guest=CN=anon,O=Progress,C=DE
이전 구성을 기반으로
system이라는 사용자는CN=system,O=Progress,C=USSubject DN에 매핑됩니다.<
;broker_instance_dir> /etc/artemis-roles.properties구성 파일을 엽니다. 사용 가능한 역할 및 해당 역할을 보유한 사용자는 이 파일에 정의됩니다. 예를 들면 다음과 같습니다.admins=system users=system,user guests=guest
이전 구성에서
users역할의 경우 여러 사용자를 쉼표로 구분된 목록으로 나열합니다.다음과 같이 보안 도메인 별칭(이 인스턴스에서 activemq)이
bootstrap.xml에서 참조되었는지 확인합니다.<jaas-security domain="activemq"/>
5.2.3.2. AMQP 클라이언트에 대한 인증서 기반 인증 구성
SASL( Simple Authentication and Security Layer ) EXTERNAL 메커니즘 구성 매개 변수를 사용하여 브로커에 연결할 때 인증서 기반 인증을 위해 AQMP 클라이언트를 구성합니다.
브로커는 모든 인증서를 인증하는 것과 동일한 방식으로 AMQP 클라이언트의 TLS( Transport Layer Security )/SSL(Secure Sockets Layer ) 인증서를 인증합니다.
- 브로커는 클라이언트의 TLS/SSL 인증서를 읽고 인증서 제목에서 ID를 가져옵니다.
- 인증서 주체는 인증서 로그인 모듈을 통해 브로커 ID에 매핑됩니다. 그런 다음 브로커는 해당 역할을 기반으로 사용자에게 권한을 부여합니다.
다음 절차에서는 AMQP 클라이언트에 대한 인증서 기반 인증을 구성하는 방법을 보여줍니다. AMQP 클라이언트가 인증서 기반 인증을 사용할 수 있도록 하려면 클라이언트가 브로커에 연결하는 데 사용하는 URI에 구성 매개변수를 추가해야 합니다.
사전 요구 사항
다음을 구성해야 합니다.
- Two-way TLS. 자세한 내용은 5.1.2절. “양방향 TLS 구성”의 내용을 참조하십시오.
- 인증서 기반 인증을 사용하는 브로커입니다. 자세한 내용은 5.2.3.1절. “인증서 기반 인증을 사용하도록 브로커 구성”의 내용을 참조하십시오.
프로세스
편집할 URI가 포함된 리소스를 엽니다.
amqps://localhost:5500
연결에 TSL/SSL을 활성화하려면
sslEnabled=true매개변수를 추가합니다.amqps://localhost:5500?sslEnabled=true
클라이언트 신뢰 저장소 및 키 저장소와 관련된 매개변수를 추가하여 브로커와 TSL/SSL 인증서를 교환할 수 있습니다.
amqps://localhost:5500?sslEnabled=true&trustStorePath=<trust_store_path>&trustStorePassword=<trust_store_password>&keyStorePath=<key_store_path>&keyStorePassword=<key_store_password>
saslMechanisms=EXTERNAL매개변수를 추가하여 브로커가 TSL/SSL 인증서에 있는 ID를 사용하여 클라이언트를 인증하도록 요청합니다.amqps://localhost:5500?sslEnabled=true&trustStorePath=<trust_store_path>&trustStorePassword=<trust_store_password>&keyStorePath=<key_store_path>&keyStorePassword=<key_store_password>&saslMechanisms=EXTERNAL
추가 리소스
- AMQ Broker의 인증서 기반 인증에 대한 자세한 내용은 5.2.3.1절. “인증서 기반 인증을 사용하도록 브로커 구성” 을 참조하십시오.
- AMQP 클라이언트 구성에 대한 자세한 내용은 Red Hat Customer Portal 로 이동하여 클라이언트와 관련된 제품 설명서를 참조하십시오.
