适用于 RabbitMQ 的 Amazon MQ 的 LDAP 身份验证和授权 - Amazon MQ
支持的 LDAP 配置亚马逊 MQ 中 LDAP 配置的其他验证
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 RabbitMQ 的 Amazon MQ 的 LDAP 身份验证和授权

适用于 RabbitMQ 的 Amazon MQ 支持使用外部 LDAP 服务器对代理用户进行身份验证和授权。有关其他支持的方法,请参阅适用于 RabbitMQ 代理的 Amazon MQ 身份验证和授权

重要注意事项

  • LDAP 服务器需要可通过公共互联网进行访问。适用于 RabbitMQ 的 Amazon MQ 可以配置为使用双向 TLS 向 LDAP 服务器进行身份验证。

  • 适用于 RabbitMQ 的 Amazon MQ 强制使用密码等敏感的 LDAP 设置以及需要访问本地文件系统的设置。 Amazon ARNs 有关更多详细信息,请参阅 RabbitMQ 配置中的 ARN 支持

  • 您必须包含 IAM 权限mq:UpdateBrokerAccessConfiguration,才能在现有代理上启用 LDAP。

  • Amazon MQ 会自动创建一个名为 monitoring-AWS-OWNED-DO-NOT-DELETE 的系统用户,该用户仅具有监控权限。即使在支持 LDAP 的代理上,该用户也使用 RabbitMQ 的内部身份验证系统,并且只能访问环回接口。Amazon MQ 通过添加受保护的用户标签来防止删除该用户

有关如何为 RabbitMQ 代理配置 Amazon MQ 的 LDAP 的信息,请参阅。使用 LDAP 身份验证和授权

支持的 LDAP 配置

适用于 RabbitMQ 的 Amazon MQ 支持 Rabb itMQ LDAP 插件中的所有可配置变量,但以下需要的例外情况除外。 Amazon ARNs有关 ARN 支持的详细信息,请参阅 RabbitMQ 配置中的 ARN 支持。

需要的配置 ARNs

auth_ldap.dn_lookup_bind.password

请改用 aws.arns.auth_ldap.dn_lookup_bind.password

auth_ldap.other_bind.password

请改用 aws.arns.auth_ldap.other_bind.password

auth_ldap.ssl_options.cacertfile

请改用 aws.arns.auth_ldap.ssl_options.cacertfile

auth_ldap.ssl_options.certfile

请改用 aws.arns.auth_ldap.ssl_options.certfile

auth_ldap.ssl_options.keyfile

请改用 aws.arns.auth_ldap.ssl_options.keyfile

不支持的 SSL 选项

也不支持以下 SSL 配置选项:

  • auth_ldap.ssl_options.cert

  • auth_ldap.ssl_options.client_renegotiation

  • auth_ldap.ssl_options.dh

  • auth_ldap.ssl_options.dhfile

  • auth_ldap.ssl_options.honor_cipher_order

  • auth_ldap.ssl_options.honor_ecc_order

  • auth_ldap.ssl_options.key.RSAPrivateKey

  • auth_ldap.ssl_options.key.DSAPrivateKey

  • auth_ldap.ssl_options.key.PrivateKeyInfo

  • auth_ldap.ssl_options.log_alert

  • auth_ldap.ssl_options.password

  • auth_ldap.ssl_options.psk_identity

  • auth_ldap.ssl_options.reuse_sessions

  • auth_ldap.ssl_options.secure_renegotiate

  • auth_ldap.ssl_options.versions.$version

  • auth_ldap.ssl_options.sni

亚马逊 MQ 中 LDAP 配置的其他验证

Amazon MQ 还对 LDAP 身份验证和授权强制执行以下额外验证:

  • auth_ldap.log无法设置为 network_unsafe

  • LDAP 服务器必须使用 LDAPS。要auth_ldap.use_sslauth_ldap.use_starttls必须明确启用

  • 如果有任何设置需要使用 Amazon ARN,则aws.arns.assume_role_arn必须提供。

  • auth_ldap.servers必须是有效的 IP 地址或有效的 FQDN

  • 以下密钥必须是有效的 LDAP 可分辨名称:

    • auth_ldap.dn_lookup_base

    • auth_ldap.dn_lookup_bind.user_dn

    • auth_ldap.other_bind.user_dn

    • auth_ldap.group_lookup_base