5.6. 보안 관리자 지정


브로커는 보안 관리자 라는 구성 요소를 사용하여 인증 및 권한 부여를 처리합니다.

AMQ Broker에는 두 가지 보안 관리자가 포함되어 있습니다.

  • ActiveMQJAASSecurityManager 보안 관리자입니다. 이 보안 관리자는 JAAS 및 Red Hat JBoss EAP(JBoss Enterprise Application Platform) 보안과의 통합을 제공합니다. AMQ Broker에서 사용하는 기본 보안 관리자입니다.
  • ActiveMQBasicSecurityManager 보안 관리자입니다. 이 기본 보안 관리자는 JAAS를 지원하지 않습니다. 대신 사용자 이름과 암호 자격 증명을 통해 인증 및 권한 부여를 지원합니다. 이 보안 관리자는 관리 API를 사용하여 사용자 추가, 제거 및 업데이트를 지원합니다. 모든 사용자 및 역할 데이터는 브로커 바인딩 저널에 저장됩니다. 즉, 라이브 브로커에 대한 변경 사항도 백업 브로커에서 사용할 수 있습니다.

포함된 보안 관리자 대신 시스템 관리자가 브로커 보안 구현을 보다 효과적으로 제어하고자 할 수 있습니다. 이 경우 브로커 구성에서 사용자 지정 보안 관리자를 지정할 수도 있습니다. 사용자 정의 보안 관리자는 org.apache.activemq.artemis.spi.core.security.ActiveMQSecurityManager5 인터페이스를 구현하는 사용자 정의 클래스입니다.

다음 하위 섹션의 예제에서는 사용할 브로커를 구성하는 방법을 보여줍니다.

  • 기본 JAAS 보안 관리자 대신 기본 보안 관리자
  • 사용자 정의 보안 관리자

5.6.1. 기본 보안 관리자 사용

AMQ Broker에는 기본 ActiveMQJAASSecurityManager 보안 관리자 외에도 ActiveMQBasicSecurityManager 보안 관리자도 포함되어 있습니다.

기본 보안 관리자를 사용하면 모든 사용자 및 역할 데이터가 바인딩 저널(또는 JDBC 지속성을 사용하는 경우 바인딩 테이블 )에 저장됩니다. 따라서 라이브 백업 브로커 그룹을 구성한 경우 라이브 브로커에 포맷한 모든 사용자 관리는 장애 조치 시 백업 브로커에 자동으로 반영됩니다. 이렇게 하면 이러한 동작을 수행하는 대체 방법인 LDAP 서버를 별도로 관리할 필요가 없습니다.

기본 보안 관리자를 구성하고 사용하기 전에 다음 사항에 유의하십시오.

  • 기본 보안 관리자는 기본 JAAS 보안 관리자처럼 연결할 수 없습니다.
  • 기본 보안 관리자는 JAAS를 지원하지 않습니다. 대신 사용자 이름과 암호 자격 증명을 통한 인증 및 권한 부여만 지원합니다.
  • AMQ 관리 콘솔에는 JAAS가 필요합니다. 따라서 기본 보안 관리자를 사용하고 콘솔을 사용하려면 사용자 및 암호 인증에 대한 login.config 구성 파일도 구성해야 합니다. 사용자 및 암호 인증 구성에 대한 자세한 내용은 5.2.2.1절. “기본 사용자 및 암호 인증 구성” 을 참조하십시오.
  • AMQ Broker에서 사용자 관리는 브로커 관리 API에서 제공합니다. 이 관리에는 사용자와 역할을 추가, 나열, 업데이트 및 제거하는 기능이 포함됩니다. Cryostat, 관리 메시지, HTTP(Jokia 또는 AMQ Management Console 사용) 및 AMQ Broker 명령줄 인터페이스를 사용하여 이러한 기능을 수행할 수 있습니다. 브로커가 이 데이터를 직접 저장하므로 사용자를 관리하려면 브로커가 실행 중이어야 합니다. 바인딩 데이터를 수동으로 수정할 수 없습니다.
  • HTTP를 통한 관리 액세스(예: Jolokia 또는 AMQ Management Console 사용)는 JAAS 로그인 모듈에서 처리합니다. JConsole 또는 기타 원격 Cryostat 툴을 통한 Cryostat 액세스는 기본 보안 관리자가 처리합니다. 관리 메시지는 기본 보안 관리자가 처리합니다.

5.6.1.1. 기본 보안 관리자 구성

다음 절차에서는 기본 보안 관리자를 사용하도록 브로커를 구성하는 방법을 보여줍니다.

프로세스

  1. &lt ;broker-instance-dir> /etc/boostrap.xml 구성 파일을 엽니다.
  2. security-manager 요소에서 class-name 속성의 전체 ActiveMQBasicSecurityManager 클래스 이름을 지정합니다.

    <broker xmlns="http://activemq.org/schema">
       ...
       <security-manager class-name="org.apache.activemq.artemis.spi.core.security.ActiveMQBasicSecurityManager">
       </security-manager>
       ...
    </broker>
  3. 사용자 및 역할 데이터를 보유하는 바인딩 데이터를 수동으로 수정할 수 없으며 사용자를 관리하기 위해 브로커가 실행 중이어야 하므로 처음 부팅할 때 브로커를 보호하는 것이 좋습니다. 이를 위해 인증 정보를 사용하여 다른 사용자를 추가할 수 있는 부트스트랩 사용자를 정의합니다.

    security-manager 요소에서 bootstrapUser,bootstrapPassword, bootstrapRole 속성을 추가하고 값을 지정합니다. 예를 들면 다음과 같습니다.

    <broker xmlns="http://activemq.org/schema">
       ...
       <security-manager class-name="org.apache.activemq.artemis.spi.core.security.ActiveMQBasicSecurityManager">
            <property key="bootstrapUser" value="myUser"/>
            <property key="bootstrapPassword" value="myPass"/>
            <property key="bootstrapRole" value="myRole"/>
       </security-manager>
       ...
    </broker>
    bootstrapUser
    부트스트랩 사용자의 이름입니다.
    bootstrapPassword
    boostrap 사용자의 본문을 전달합니다. 암호화된 암호를 지정할 수도 있습니다.
    bootstrapRole

    boostrap 사용자의 역할.

    참고

    구성에서 부트스트랩 사용자의 이전 속성을 정의하는 경우 브로커가 실행되는 동안 변경한 내용에 관계없이 브로커를 시작할 때마다 해당 인증 정보가 설정됩니다.

  4. &lt ;broker_instance_dir&gt; /etc/broker.xml 구성 파일을 엽니다.
  5. broker.xml 구성 파일에서 activemq.management# 주소와 일치하도록 기본적으로 정의된 address-setting 요소를 찾습니다. 이러한 기본 주소 설정은 다음과 같습니다.

    <address-setting match="activemq.management#">
        <dead-letter-address>DLQ</dead-letter-address>
        <expiry-address>ExpiryQueue</expiry-address>
        <redelivery-delay>0</redelivery-delay>
        <!--...-->
        <max-size-bytes>-1</max-size-bytes>
        <message-counter-history-day-limit>10</message-counter-history-day-limit>
        <address-full-policy>PAGE</address-full-policy>
        <auto-create-queues>true</auto-create-queues>
        <auto-create-addresses>true</auto-create-addresses>
        <auto-create-jms-queues>true</auto-create-jms-queues>
        <auto-create-jms-topics>true</auto-create-jms-topics>
    </address-setting>
  6. activemq.management# 주소의 주소 설정 내에서 이 절차의 앞부분에서 지정한 부트스트랩 역할 이름에 대해 다음과 같은 필수 권한을 추가합니다.

    • createNonDurableQueue
    • createAddress
    • consume
    • 관리
    • 전송

    예를 들면 다음과 같습니다.

    <address-setting match="activemq.management#">
        ...
        <permission type="createNonDurableQueue" roles="myRole"/>
        <permission type="createAddress" roles="myRole"/>
        <permission type="consume" roles="myRole"/>
        <permission type="manage" roles="myRole"/>
        <permission type="send" roles="myRole"/>
    </address-setting>

추가 리소스

5.6.2. 사용자 정의 보안 관리자 지정

다음 절차에서는 브로커 구성에서 사용자 지정 보안 관리자를 지정하는 방법을 보여줍니다.

프로세스

  1. &lt ;broker_instance_dir> /etc/boostrap.xml 구성 파일을 엽니다.
  2. security-manager 요소에서 class-name 속성에 대해 org.apache.activemq.artemis.spi.security.ActiveMQSecurityManager5 인터페이스의 사용자 정의 구현인 클래스를 지정합니다. 예를 들면 다음과 같습니다.

    <broker xmlns="http://activemq.org/schema">
       ...
       <security-manager class-name="com.myclass.MySecurityManager">
          <property key="myKey1" value="myValue1"/>
          <property key="myKey2" value="myValue2"/>
       </security-manager>
       ...
    </broker>

추가 리소스

  • ActiveMQSecurityManager5 인터페이스에 대한 자세한 내용은 ActiveMQ Artemis Core API 설명서의 Interface ActiveMQSecurityManager5 를 참조하십시오.

5.6.3. 사용자 정의 보안 관리자 예제 프로그램 실행

AMQ Broker에는 사용자 정의 보안 관리자를 구현하는 방법을 보여주는 예제 프로그램이 있습니다. 이 예제에서 사용자 지정 보안 관리자는 인증 및 권한 부여에 대한 세부 정보를 기록한 다음 세부 정보를 ActiveMQJAASSecurityManager (즉, 기본 보안 관리자) 인스턴스에 전달합니다.

다음 절차에서는 사용자 정의 보안 관리자 예제 프로그램을 실행하는 방법을 보여줍니다.

사전 요구 사항

  • 시스템이 AMQ Broker 예제 프로그램을 실행하도록 설정되어 있습니다. 자세한 내용은 AMQ Broker 예제 실행을 참조하십시오.

사용자 정의 보안 관리자 예제 를 다운로드했습니다.

프로세스

  1. 사용자 지정 보안 관리자 예제가 포함된 디렉터리로 이동합니다. 다음 예제에서는 예제를 amq-broker-examples 라는 디렉터리에 다운로드했다고 가정합니다.

    $ cd amq-broker-examples/examples/features/standard/security-manager
  2. 예제를 실행합니다.

    $ mvn verify
참고

예제 프로그램을 실행할 때 브로커 인스턴스를 수동으로 생성하고 시작하려면 이전 단계에서 명령을 mvn -PnoServer 확인 으로 바꿉니다.

추가 리소스

  • ActiveMQJAASSecurityManager 클래스에 대한 자세한 내용은 ActiveMQ Artemis Core API 설명서의 Class ActiveMQJAASSecurityManager 를 참조하십시오.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.