【转】AMQ安全校验及AMQ Console安全认证
来源:https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/ActiveMQ/page/AMQ%E5%AE%89%E5%85%A8%E6%A0%A1%E9%AA%8C%E5%8F%8AAMQ%20Console%E5%AE%89%E5%85%A8%E8%AE%A4%E8%AF%81
作者:蝎子喝茶
AMQ的校验涉及到AMQ Broker和AMQ Console两个部分;
对于AMQ Broker需要添加连接校验机制。AMQ Console部署在嵌入式的Jetty上,因此可以使用BASIC认证。
一. 对AMQ Broker添加校验需要在broker中添加<plugins></plugins>,一下所有操作均需要设置在plugins中。
1. 进行用户组授权配置
<authorizationPlugin> <map> <authorizationMap> <authorizationEntries> <authorizationEntry queue=">" read="admins,users,guests" write="admins,users" admin="admins" /> <authorizationEntry topic=">" read="admins,users,guests" write="admins,users" admin="admins" /> <authorizationEntry topic="ActiveMQ.Advisory.>" read="guests,users" write="guests,users" admin="guests,users"/> </authorizationEntries> </authorizationMap> </map> </authorizationPlugin>
">"为通配符,代表任何消息,被赋予admin操作的用户组具有创建消息队列的权限。
2.1. 使用简单的用户设置策略
<simpleAuthenticationPlugin> <users> <authenticationUser username="system" password="manager" groups="users,admins"/> <authenticationUser username="user" password="password" groups="users"/> <authenticationUser username="guest" password="password" groups="guests"/> </users> </simpleAuthenticationPlugin>
2.2. 使用基于JAAS的认证策略
2.2.1). 配置使用JAAS策略,并定义配置模块为activemq-domain.
<jaasAuthenticationPlugin configuration="activemq-domain" />
2.2.2). 在conf目录中创建login.config文件,并设置用户组文件和用户文件
activemq-domain {
org.apache.activemq.jaas.PropertiesLoginModule required
debug=true
org.apache.activemq.jaas.properties.user="users.properties"
org.apache.activemq.jaas.properties.group="groups.properties";
};
2.2.3). 建立groups.properties配置用户组和用户
# 组名=用户名 admins=system users=system,user guests=guest
2.2.4). 建立users.properties配置用户和密码
# 用户名=密码 system=manager user=password guest=password
3. 设置broker连接密码
3.1). 加载证书配置文件
<bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
<property name="locations">
<value>file:///${activemq.base}/conf/credentials.properties</value>
</property>
</bean>
3.2). 设置证书credentials.properties用户密码
# 键=值 activemq.username=system activemq.password=manager
3.3). 设置broker连接用户密码
<networkConnectors>
<networkConnector name="host" userName="${activemq.username}" password="${activemq.password}" uri="static://(tcp://localhost:61616)"/>
</networkConnectors>
二. 对AMQ Console添加BASIC认证
1. 可以将jetty的配置独立成单独的文件,然后在activemq.xml进行引用
<import resource="jetty.xml"/>
2.1. 在jetty.xml添加BASIC认证
<bean id="userRealm" class="org.mortbay.jetty.security.HashUserRealm">
<property name="name" value="BPMCSecurity"/> <!-- 认证名 -->
<property name="config" value="${activemq.base}/conf/jetty-realm.properties"/> <!-- 认证用户密码配置 -->
</bean>
<bean id="securityConstraint" class="org.mortbay.jetty.security.Constraint">
<property name="name" value="BASIC" /> <!-- 认证方式,采用BASIC认证 -->
<property name="roles">
<list>
<value>admins</value> <!-- 授权角色:admins -->
</list>
</property>
<property name="authenticate" value="true"/>
</bean>
<bean id="securityConstraintMapping" class="org.mortbay.jetty.security.ConstraintMapping">
<property name="constraint" ref="securityConstraint"/>
<property name="pathSpec" value="/*"/>
</bean>
<!-- 配置handler -->
<bean id="securityHandler" class="org.mortbay.jetty.security.SecurityHandler">
<property name="userRealm" ref="userRealm"/>
<property name="constraintMappings">
<list>
<ref bean="securityConstraintMapping" />
</list>
</property>
</bean>
2.2. 添加handler
在Server bean的handler属性中设置HandlerCollection,并添加handlers list中内容
<list> <ref bean="securityHandler" /> </list>
2.3. 添加配置文件jetty-realm.properties
# 格式(用户名:密码,用户组) system: manager,admins
上一篇: tomcat进程意外退出的问题分析
下一篇: tomcat进程意外退出的问题分析