5.5. 使用 Kerberos 进行身份验证和授权


使用 AMQP 协议发送和接收消息时,客户端可以使用 Simple Authentication and Security Layer (SASL)框架中的 GSSAPI 机制发送 Kerberos 安全凭证。Kerberos 凭据还可用于授权,方法是将经过身份验证的用户映射到在 LDAP 目录或基于文本的属性文件中配置的已分配角色。

您可以使用 SASL 和 传输层安全 (TLS)来保护您的消息传递应用程序。SASL 提供用户身份验证,并且 TLS 提供数据完整性。

重要

以下流程演示了如何配置用于身份验证和授权的 Kerberos。

5.5.1. 配置网络连接以使用 Kerberos

AMQ Broker 使用 简单身份验证和安全层 (SASL)框架中的 GSSAPI 机制与 Kerberos 安全凭证集成。要在 AMQ Broker 中使用 Kerberos,每个接受者验证或授权使用 Kerberos 凭证的客户端,都必须配置为使用 GSSAPI 机制。

以下流程演示了如何配置接受者使用 Kerberos。

先决条件

  • 在 AMQ Broker 可以验证和授权 Kerberos 凭证前,您必须部署和配置 Kerberos 基础架构。

流程

  1. 停止代理。

    1. 在 Linux 中:

      <broker_instance_dir>/bin/artemis stop
    2. 在 Windows 中:

      <broker_instance_dir>\bin\artemis-service.exe stop
  2. 打开 & lt;broker_instance_dir&gt; /etc/broker.xml 配置文件。
  3. 将 name-value 对 saslMechanisms=GSSAPI 添加到 acceptor URL 的查询字符串。

    <acceptor name="amqp">
      tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI
    </acceptor>

    上述配置意味着在验证 Kerberos 凭证时,接受者使用 GSSAPI 机制。

  4. (可选)还支持 PLAINANONYMOUS SASL 机制。要指定多个机制,请使用用逗号分开的列表。例如:

    <acceptor name="amqp">
      tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN
    </acceptor>

    结果是使用 GSSAPIPLAIN SASL 机制的接受者。

  5. 启动代理。

    1. 在 Linux 中:

      <broker_instance_dir>/bin/artemis run
    2. 在 Windows 中:

      <broker_instance_dir>\bin\artemis-service.exe start

其他资源

5.5.2. 使用 Kerberos 凭证验证客户端

AMQ Broker 支持使用简单验证和安全层(SASL)框架中的 GSSAPI 机制的 AMQP 连接进行 Kerberos 验证

代理使用 Java 认证和授权服务(JAAS)获取其 Kerberos 接收器 凭证。Java 安装中包含的 JAAS 库通过登录模块 Krb5LoginModule 一起打包,用于验证 Kerberos 凭据。有关其 Krb5LoginModule 的更多信息,请参阅 Java 供应商中的文档。例如,Oracle 提供有关其 Krb5LoginModule 登录模块的信息,作为其 Java 8 文档 的一部分。

先决条件

流程

  1. 停止代理。

    1. 在 Linux 中:

      <broker_instance_dir>/bin/artemis stop
    2. 在 Windows 中:

      <broker_instance_dir>\bin\artemis-service.exe stop
  2. 打开 & lt;broker_instance_dir&gt; /etc/login.config 配置文件。
  3. 添加名为 amqp-sasl-gssapi 的配置范围。以下示例显示了在 JDK 和 JDK 版本中的 Krb5LoginModule 的配置。

    amqp-sasl-gssapi {
        com.sun.security.auth.module.Krb5LoginModule required
        isInitiator=false
        storeKey=true
        useKeyTab=true
        principal="amqp/my_broker_host@example.com"
        debug=true;
    };
    amqp-sasl-gssapi
    默认情况下,代理上的 GSSAPI 机制使用名为 amqp-sasl-gssapi 的 JAAS 配置范围来获取其 Kerberos 接受器凭证。
    Krb5LoginModule
    Krb5LoginModule 的这个版本由 JDK 和 OpenJDK 版本提供。通过引用 Java 供应商的文档来验证 Krb5LoginModule 及其可用选项的完全限定类名称。
    useKeyTab
    Krb5LoginModule 配置为在验证主体时使用 Kerberos keytab。使用 Kerberos 环境中的工具生成 keytab。有关生成 Kerberos keytab 的详情,请查看厂商中的文档。
    主体
    Principal 设置为 amqp/my_broker_host@example.com。这个值必须与 Kerberos 环境中创建的服务主体对应。有关创建服务主体的详情,请查看厂商中的文档。
  4. 启动代理。

    1. 在 Linux 中:

      <broker_instance_dir>/bin/artemis run
    2. 在 Windows 中:

      <broker_instance_dir>\bin\artemis-service.exe start

5.5.2.1. 使用替代配置范围

您可以通过在 AMQP 接受器的 URL 中添加参数 saslLoginConfigScope 来指定备选配置范围。在以下配置中,为参数 saslLoginConfigScope 提供值 alternative-sasl-gssapi。结果是使用名为 alternative-sasl-gssapi 的替代范围,在 < broker_instance_dir> /etc/login.config 配置文件中声明。

<acceptor name="amqp">
tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN;saslLoginConfigScope=alternative-sasl-gssapi`
</acceptor>

5.5.3. 使用 Kerberos 凭证授权客户端

AMQ Broker 包括对 JAAS Krb5LoginModule 登录模块的实施,以便在映射角色时供其他安全模块使用。该模块将 Kerberos 验证的 Peer Principal 添加到 Subject 的主体集中为 AMQ Broker UserPrincipal。然后可将凭证传递给 PropertiesLoginModuleLDAPLoginModule 模块,它会将 Kerberos 验证的 Peer Principal Principal Principal 映射到 AMQ Broker 角色。

注意

Kerberos Peer Principal 不会以代理用户身份存在,仅作为角色成员。

先决条件

  • 您必须启用接收器的 GSSAPI 机制,然后才能使用 Kerberos 安全凭证授权 AMQP 连接。

流程

  1. 停止代理。

    1. 在 Linux 中:

      <broker_instance_dir>/bin/artemis stop
    2. 在 Windows 中:

      <broker_instance_dir>\bin\artemis-service.exe stop
  2. 打开 & lt;broker_instance_dir&gt; /etc/login.config 配置文件。
  3. 为 AMQ Broker Krb5LoginModuleLDAPLoginModule 添加配置。通过引用 LDAP 供应商中的文档来验证配置选项。

    下面是一个配置示例。

    org.apache.activemq.artemis.spi.core.security.jaas.Krb5LoginModule required
        ;
    org.apache.activemq.artemis.spi.core.security.jaas.LDAPLoginModule optional
        initialContextFactory=com.sun.jndi.ldap.LdapCtxFactory
        connectionURL="ldap://localhost:1024"
        authentication=GSSAPI
        saslLoginConfigScope=broker-sasl-gssapi
        connectionProtocol=s
        userBase="ou=users,dc=example,dc=com"
        userSearchMatching="(krb5PrincipalName={0})"
        userSearchSubtree=true
        authenticateUser=false
        roleBase="ou=system"
        roleName=cn
        roleSearchMatching="(member={0})"
        roleSearchSubtree=false
        ;
    注意

    上例中显示的 Krb5LoginModule 版本通过 AMQ Broker 分发,并将 Kerberos 身份转换为代理身份,供其他 AMQ 模块用于角色映射。

  4. 启动代理。

    1. 在 Linux 中:

      <broker_instance_dir>/bin/artemis run
    2. 在 Windows 中:

      <broker_instance_dir>\bin\artemis-service.exe start

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.