红帽全球峰会5.5. 使用 Kerberos 进行身份验证和授权
使用 AMQP 协议发送和接收消息时,客户端可以使用 Simple Authentication and Security Layer (SASL)框架中的 GSSAPI 机制发送 Kerberos 安全凭证。Kerberos 凭据也可以通过将经过身份验证的用户映射到 LDAP 目录或基于文本的属性文件中配置的已分配角色来授权。
您可以使用带有 传输层安全 (TLS)的 SASL 来保护消息传递应用程序。SASL 提供用户身份验证,TLS 提供数据完整性。
在 AMQ Broker 能够验证和授权 Kerberos 凭证前,您必须部署和配置 Kerberos 基础架构。有关部署 Kerberos 的更多信息,请参阅您的操作系统文档。
- 对于 RHEL 7,请参阅使用 Kerberos。
- 对于 Windows,请参阅 Kerberos 身份验证概述。
- Oracle 或 IBM JDK 的用户应该安装 Java Cryptography Extension (JCE)。如需更多信息,请参阅 Oracle version of the JCE 或 IBM version of the JCE。
以下流程演示了如何为身份验证和授权配置 Kerberos。
5.5.1. 配置网络连接以使用 Kerberos
AMQ Broker 使用 简单身份验证和安全层 (SASL)框架中的 GSSAPI 机制与 Kerberos 安全凭证集成。要在 AMQ Broker 中使用 Kerberos,每个接受者验证或授权使用 Kerberos 凭证的客户端都必须配置为使用 GSSAPI 机制。
以下流程演示了如何配置 acceptor 以使用 Kerberos。
先决条件
- 在 AMQ Broker 能够验证和授权 Kerberos 凭证前,您必须部署和配置 Kerberos 基础架构。
流程
停止代理。
对于 Linux:
<broker_instance_dir>/bin/artemis stop
<broker_instance_dir>/bin/artemis stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Windows 上:
<broker_instance_dir>\bin\artemis-service.exe stop
<broker_instance_dir>\bin\artemis-service.exe stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
打开 &
lt;broker_instance_dir> /etc/broker.xml配置文件。 将 name-value 对
saslMechanisms=GSSAPI添加到acceptor的 URL 的查询字符串中。<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI </acceptor>
<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI </acceptor>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 前面的配置意味着 acceptor 在验证 Kerberos 凭证时使用 GSSAPI 机制。
(可选)
PLAIN和ANONYMOUSSASL 机制也被支持。要指定多个机制,请使用逗号分隔的列表。例如:<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN </acceptor>
<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN </acceptor>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 结果是一个接受者,它使用
GSSAPI和PLAINSASL 机制。启动代理。
对于 Linux:
<broker_instance_dir>/bin/artemis run
<broker_instance_dir>/bin/artemis runCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Windows 上:
<broker_instance_dir>\bin\artemis-service.exe start
<broker_instance_dir>\bin\artemis-service.exe startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
其他资源
- 有关接收器的详情,请参考 第 2.1 节 “关于接收器”。
5.5.2. 使用 Kerberos 凭证验证客户端
AMQ Broker 支持 AMQP 连接的 Kerberos 身份验证,这些连接使用 简单身份验证和安全层 (SASL)框架中的 GSSAPI 机制。
代理使用 Java 身份验证和授权服务 (JAAS)获取其 Kerberos 接受者凭证。Java 安装中包含的 JAAS 库与验证 Kerberos 凭据的登录模块 Krb5LoginModule 一起打包。有关其 Krb5LoginModule 的更多信息,请参阅 Java 供应商的文档。例如,Oracle 会提供其 Krb5LoginModule 登录模块的信息,作为其 Java 8 文档 的一部分。
先决条件
- 您必须启用 acceptor 的 GSSAPI 机制,然后才能使用 Kerberos 安全凭证验证 AMQP 连接。更多信息请参阅 第 5.5.1 节 “配置网络连接以使用 Kerberos”。
流程
停止代理。
对于 Linux:
<broker_instance_dir>/bin/artemis stop
<broker_instance_dir>/bin/artemis stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Windows 上:
<broker_instance_dir>\bin\artemis-service.exe stop
<broker_instance_dir>\bin\artemis-service.exe stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
打开 &
lt;broker_instance_dir> /etc/login.config配置文件。 添加名为
amqp-sasl-gssapi的配置范围。以下示例显示了在 JDK 的 Oracle 和 OpenJDK 版本中找到的Krb5LoginModule的配置。Copy to Clipboard Copied! Toggle word wrap Toggle overflow amqp-sasl-gssapi-
默认情况下,代理上的 GSSAPI 机制实现使用名为
amqp-sasl-gssapi的 JAAS 配置范围来获取其 Kerberos acceptor 凭证。 Krb5LoginModule-
此版本的
Krb5LoginModule由 JDK 的 Oracle 和 OpenJDK 版本提供。通过引用 Java 厂商的文档,验证Krb5LoginModule及其可用选项的完全限定类名称。 useKeyTab-
Krb5LoginModule配置为在验证主体时使用 Kerberos keytab。keytabs 使用 Kerberos 环境中的工具生成。有关生成 Kerberos keytab 的详情,请查看厂商中的文档。 主体-
Principal 设置为
amqp/my_broker_host@example.com。这个值必须与 Kerberos 环境中创建的服务主体对应。有关创建服务主体的详情,请查看厂商中的文档。
启动代理。
对于 Linux:
<broker_instance_dir>/bin/artemis run
<broker_instance_dir>/bin/artemis runCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Windows 上:
<broker_instance_dir>\bin\artemis-service.exe start
<broker_instance_dir>\bin\artemis-service.exe startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.5.2.1. 使用其他配置范围
您可以通过在 AMQP 接受器的 URL 中添加参数 saslLoginConfigScope 来指定替代配置范围。在以下配置示例中,参数 saslLoginConfigScope 被赋予值 alternative-sasl-gssapi。结果是一个 acceptor,它使用名为 alternative-sasl-gssapi 的替代范围,在 < broker_instance_dir> /etc/login.config 配置文件中声明。
<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN;saslLoginConfigScope=alternative-sasl-gssapi` </acceptor>
<acceptor name="amqp">
tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN;saslLoginConfigScope=alternative-sasl-gssapi`
</acceptor>5.5.3. 使用 Kerberos 凭证授权客户端
AMQ Broker 包括实现 JAAS Krb5LoginModule 登录模块,以便在映射角色时供其他安全模块使用。模块将 Kerberos 验证的 Peer Principal 添加到 Subject 的主体设置为 AMQ Broker UserPrincipal。然后,可以将凭证传递给 PropertiesLoginModule 或 LDAPLoginModule 模块,该模块将 Kerberos 验证的 Peer Principal 映射到 AMQ Broker 角色。
Kerberos Peer Principal 不存在,仅作为角色成员存在。
先决条件
- 您必须启用 acceptor 的 GSSAPI 机制,然后才能使用 Kerberos 安全凭证授权 AMQP 连接。
流程
停止代理。
对于 Linux:
<broker_instance_dir>/bin/artemis stop
<broker_instance_dir>/bin/artemis stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Windows 上:
<broker_instance_dir>\bin\artemis-service.exe stop
<broker_instance_dir>\bin\artemis-service.exe stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
打开 &
lt;broker_instance_dir> /etc/login.config配置文件。 为 AMQ Broker
Krb5LoginModule和LDAPLoginModule添加配置。通过引用 LDAP 供应商中的文档来验证配置选项。示例配置如下所示:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意上例中显示的
Krb5LoginModule版本与 AMQ Broker 一起分发,并将 Kerberos 身份转换为可供其他 AMQ 模块用于角色映射的代理身份。启动代理。
对于 Linux:
<broker_instance_dir>/bin/artemis run
<broker_instance_dir>/bin/artemis runCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Windows 上:
<broker_instance_dir>\bin\artemis-service.exe start
<broker_instance_dir>\bin\artemis-service.exe startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
其他资源
- 有关在 AMQ Broker 中启用 GSSAPI 机制的更多信息,请参阅 第 5.5.1 节 “配置网络连接以使用 Kerberos”。
-
有关
PropertiesLoginModule的更多信息,请参阅 第 5.2.2.1 节 “配置基本用户和密码身份验证”。 -
有关
LDAPLoginModule的更多信息,请参阅 第 5.4.1 节 “配置 LDAP 以验证客户端”。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}