5.5. 使用 Kerberos 进行身份验证和授权
使用 AMQP 协议发送和接收消息时,客户端可以使用 Simple Authentication and Security Layer (SASL)框架中的 GSSAPI 机制发送 Kerberos 安全凭证。Kerberos 凭据还可用于授权,方法是将经过身份验证的用户映射到在 LDAP 目录或基于文本的属性文件中配置的已分配角色。
您可以使用 SASL 和 传输层安全 (TLS)来保护您的消息传递应用程序。SASL 提供用户身份验证,并且 TLS 提供数据完整性。
在 AMQ Broker 可以验证和授权 Kerberos 凭证前,您必须部署和配置 Kerberos 基础架构。有关部署 Kerberos 的详情,请查看您的操作系统文档。
- 对于 RHEL 7,请参阅使用 Kerberos。
- 对于 Windows,请参阅 Kerberos 身份验证概述。
- Oracle 或 IBM JDK 的用户应该安装 Java Cryptography Extension(JCE)。如需更多信息,请参阅 Oracle version of the JCE 或 IBM version of the JCE。
以下流程演示了如何配置用于身份验证和授权的 Kerberos。
5.5.1. 配置网络连接以使用 Kerberos
AMQ Broker 使用 简单身份验证和安全层 (SASL)框架中的 GSSAPI 机制与 Kerberos 安全凭证集成。要在 AMQ Broker 中使用 Kerberos,每个接受者验证或授权使用 Kerberos 凭证的客户端,都必须配置为使用 GSSAPI 机制。
以下流程演示了如何配置接受者使用 Kerberos。
先决条件
- 在 AMQ Broker 可以验证和授权 Kerberos 凭证前,您必须部署和配置 Kerberos 基础架构。
流程
停止代理。
在 Linux 中:
<broker_instance_dir>/bin/artemis stop
在 Windows 中:
<broker_instance_dir>\bin\artemis-service.exe stop
-
打开 &
lt;broker_instance_dir> /etc/broker.xml
配置文件。 将 name-value 对
saslMechanisms=GSSAPI
添加到acceptor
URL 的查询字符串。<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI </acceptor>
上述配置意味着在验证 Kerberos 凭证时,接受者使用 GSSAPI 机制。
(可选)还支持
PLAIN
和ANONYMOUS
SASL 机制。要指定多个机制,请使用用逗号分开的列表。例如:<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN </acceptor>
结果是使用
GSSAPI
和PLAIN
SASL 机制的接受者。启动代理。
在 Linux 中:
<broker_instance_dir>/bin/artemis run
在 Windows 中:
<broker_instance_dir>\bin\artemis-service.exe start
其他资源
- 有关接收器的详情,请参考 第 2.1 节 “关于接收器”。
5.5.2. 使用 Kerberos 凭证验证客户端
AMQ Broker 支持使用简单验证和安全层(SASL)框架中的 GSSAPI 机制的 AMQP 连接进行 Kerberos 验证。
代理使用 Java 认证和授权服务(JAAS)获取其 Kerberos 接收器 凭证。Java 安装中包含的 JAAS 库通过登录模块 Krb5LoginModule
一起打包,用于验证 Kerberos 凭据。有关其 Krb5LoginModule
的更多信息,请参阅 Java 供应商中的文档。例如,Oracle 提供有关其 Krb5LoginModule
登录模块的信息,作为其 Java 8 文档 的一部分。
先决条件
- 您必须启用接收器的 GSSAPI 机制,然后才能使用 Kerberos 安全凭证验证 AMQP 连接。更多信息请参阅 第 5.5.1 节 “配置网络连接以使用 Kerberos”。
流程
停止代理。
在 Linux 中:
<broker_instance_dir>/bin/artemis stop
在 Windows 中:
<broker_instance_dir>\bin\artemis-service.exe stop
-
打开 &
lt;broker_instance_dir> /etc/login.config
配置文件。 添加名为
amqp-sasl-gssapi
的配置范围。以下示例显示了在 JDK 和 JDK 版本中的Krb5LoginModule
的配置。amqp-sasl-gssapi { com.sun.security.auth.module.Krb5LoginModule required isInitiator=false storeKey=true useKeyTab=true principal="amqp/my_broker_host@example.com" debug=true; };
amqp-sasl-gssapi
-
默认情况下,代理上的 GSSAPI 机制使用名为
amqp-sasl-gssapi
的 JAAS 配置范围来获取其 Kerberos 接受器凭证。 Krb5LoginModule
-
Krb5LoginModule
的这个版本由 JDK 和 OpenJDK 版本提供。通过引用 Java 供应商的文档来验证Krb5LoginModule
及其可用选项的完全限定类名称。 useKeyTab
-
Krb5LoginModule
配置为在验证主体时使用 Kerberos keytab。使用 Kerberos 环境中的工具生成 keytab。有关生成 Kerberos keytab 的详情,请查看厂商中的文档。 主体
-
Principal 设置为
amqp/my_broker_host@example.com
。这个值必须与 Kerberos 环境中创建的服务主体对应。有关创建服务主体的详情,请查看厂商中的文档。
启动代理。
在 Linux 中:
<broker_instance_dir>/bin/artemis run
在 Windows 中:
<broker_instance_dir>\bin\artemis-service.exe start
5.5.2.1. 使用替代配置范围
您可以通过在 AMQP 接受器的 URL 中添加参数 saslLoginConfigScope
来指定备选配置范围。在以下配置中,为参数 saslLoginConfigScope
提供值 alternative-sasl-gssapi
。结果是使用名为 alternative-sasl-gssapi
的替代范围,在 < broker_instance_dir> /etc/login.config
配置文件中声明。
<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN;saslLoginConfigScope=alternative-sasl-gssapi` </acceptor>
5.5.3. 使用 Kerberos 凭证授权客户端
AMQ Broker 包括对 JAAS Krb5LoginModule
登录模块的实施,以便在映射角色时供其他安全模块使用。该模块将 Kerberos 验证的 Peer Principal 添加到 Subject 的主体集中为 AMQ Broker UserPrincipal。然后可将凭证传递给 PropertiesLoginModule
或 LDAPLoginModule
模块,它会将 Kerberos 验证的 Peer Principal Principal Principal 映射到 AMQ Broker 角色。
Kerberos Peer Principal 不会以代理用户身份存在,仅作为角色成员。
先决条件
- 您必须启用接收器的 GSSAPI 机制,然后才能使用 Kerberos 安全凭证授权 AMQP 连接。
流程
停止代理。
在 Linux 中:
<broker_instance_dir>/bin/artemis stop
在 Windows 中:
<broker_instance_dir>\bin\artemis-service.exe stop
-
打开 &
lt;broker_instance_dir> /etc/login.config
配置文件。 为 AMQ Broker
Krb5LoginModule
和LDAPLoginModule
添加配置。通过引用 LDAP 供应商中的文档来验证配置选项。下面是一个配置示例。
org.apache.activemq.artemis.spi.core.security.jaas.Krb5LoginModule required ; org.apache.activemq.artemis.spi.core.security.jaas.LDAPLoginModule optional initialContextFactory=com.sun.jndi.ldap.LdapCtxFactory connectionURL="ldap://localhost:1024" authentication=GSSAPI saslLoginConfigScope=broker-sasl-gssapi connectionProtocol=s userBase="ou=users,dc=example,dc=com" userSearchMatching="(krb5PrincipalName={0})" userSearchSubtree=true authenticateUser=false roleBase="ou=system" roleName=cn roleSearchMatching="(member={0})" roleSearchSubtree=false ;
注意上例中显示的
Krb5LoginModule
版本通过 AMQ Broker 分发,并将 Kerberos 身份转换为代理身份,供其他 AMQ 模块用于角色映射。启动代理。
在 Linux 中:
<broker_instance_dir>/bin/artemis run
在 Windows 中:
<broker_instance_dir>\bin\artemis-service.exe start
其他资源
- 有关在 AMQ Broker 中启用 GSSAPI 机制的更多信息,请参阅 第 5.5.1 节 “配置网络连接以使用 Kerberos”。
-
有关
PropertiesLoginModule
的更多信息,请参阅 第 5.2.2.1 节 “配置基本用户和密码身份验证”。 -
有关
LDAPLoginModule
的更多信息,请参阅 第 5.4.1 节 “配置 LDAP 以验证客户端”。