View a markdown version of this page

Amazon MQ for RabbitMQ 的 LDAP 身分驗證和授權 - Amazon MQ
支援的 LDAP 組態Amazon MQ 中 LDAP 組態的其他驗證

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon MQ for RabbitMQ 的 LDAP 身分驗證和授權

Amazon MQ for RabbitMQ 支援使用外部 LDAP 伺服器的代理程式使用者的身分驗證和授權。如需其他支援的方法,請參閱 Amazon MQ for RabbitMQ 代理程式的身分驗證和授權

重要考量

  • LDAP 伺服器需要透過公有網際網路存取。Amazon MQ for RabbitMQ 可以設定為使用交互 TLS 驗證 LDAP 伺服器。

  • Amazon MQ for RabbitMQ 會針對密碼等敏感 LDAP 設定,以及需要存取本機檔案系統的設定,強制使用 AWS ARNs。如需詳細資訊,請參閱 RabbitMQ 組態中的 ARN 支援

  • 您必須包含 IAM 許可 mq:UpdateBrokerAccessConfiguration,才能在現有代理程式上啟用 LDAP。

  • Amazon MQ 會自動建立名為 monitoring-AWS-OWNED-DO-NOT-DELETE且具有僅監控許可的系統使用者。即使已啟用 LDAP 的代理程式,此使用者也會使用 RabbitMQ 的內部身分驗證系統,且僅限於循環介面存取。Amazon MQ 會新增受保護的使用者標籤,以防止刪除此使用者

如需有關如何為 Amazon MQ for RabbitMQ 代理程式設定 LDAP 的資訊,請參閱 使用 LDAP 身分驗證和授權

支援的 LDAP 組態

Amazon MQ for RabbitMQ 支援 RabbitMQ LDAP 外掛程式中的所有可設定變數,但下列例外需要 AWS ARNs 如需 ARN 支援的詳細資訊,請參閱 RabbitMQ 組態中的 ARN 支援

需要 ARNs組態

auth_ldap.dn_lookup_bind.password

改用 aws.arns.auth_ldap.dn_lookup_bind.password

auth_ldap.other_bind.password

改用 aws.arns.auth_ldap.other_bind.password

auth_ldap.ssl_options.cacertfile

改用 aws.arns.auth_ldap.ssl_options.cacertfile

auth_ldap.ssl_options.certfile

改用 aws.arns.auth_ldap.ssl_options.certfile

auth_ldap.ssl_options.keyfile

改用 aws.arns.auth_ldap.ssl_options.keyfile

不支援的 SSL 選項

也不支援下列 SSL 組態選項:

  • auth_ldap.ssl_options.cert

  • auth_ldap.ssl_options.client_renegotiation

  • auth_ldap.ssl_options.dh

  • auth_ldap.ssl_options.dhfile

  • auth_ldap.ssl_options.honor_cipher_order

  • auth_ldap.ssl_options.honor_ecc_order

  • auth_ldap.ssl_options.key.RSAPrivateKey

  • auth_ldap.ssl_options.key.DSAPrivateKey

  • auth_ldap.ssl_options.key.PrivateKeyInfo

  • auth_ldap.ssl_options.log_alert

  • auth_ldap.ssl_options.password

  • auth_ldap.ssl_options.psk_identity

  • auth_ldap.ssl_options.reuse_sessions

  • auth_ldap.ssl_options.secure_renegotiate

  • auth_ldap.ssl_options.versions.$version

  • auth_ldap.ssl_options.sni

Amazon MQ 中 LDAP 組態的其他驗證

Amazon MQ 也會針對 LDAP 身分驗證和授權強制執行下列其他驗證:

  • auth_ldap.log 無法設定為 network_unsafe

  • LDAP 伺服器必須使用 LDAPS。auth_ldap.use_sslauth_ldap.use_starttls 必須明確啟用

  • 如果有任何設定需要使用 AWS ARN,aws.arns.assume_role_arn則必須提供 。

  • auth_ldap.servers 必須是有效的 IP 地址或有效的 FQDN

  • 下列金鑰必須是有效的 LDAP 辨別名稱:

    • auth_ldap.dn_lookup_base

    • auth_ldap.dn_lookup_bind.user_dn

    • auth_ldap.other_bind.user_dn

    • auth_ldap.group_lookup_base