本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon MQ for RabbitMQ 的 LDAP 身分驗證和授權
<a name="ldap-for-amq-for-rabbitmq"></a>

Amazon MQ for RabbitMQ 支援使用外部 LDAP 伺服器的代理程式使用者的身分驗證和授權。如需其他支援的方法，請參閱 [Amazon MQ for RabbitMQ 代理程式的身分驗證和授權](rabbitmq-authentication.md)。

**重要考量**  
LDAP 伺服器需要透過公有網際網路存取。Amazon MQ for RabbitMQ 可以設定為使用交互 TLS 驗證 LDAP 伺服器。
Amazon MQ for RabbitMQ 會針對密碼等敏感 LDAP 設定，以及需要存取本機檔案系統的設定，強制使用 AWS ARNs。如需詳細資訊，請參閱 [ RabbitMQ 組態中的 ARN 支援](arn-support-rabbitmq-configuration.md)。
您必須包含 IAM 許可 `mq:UpdateBrokerAccessConfiguration`，才能在現有代理程式上啟用 LDAP。
Amazon MQ 會自動建立名為 `monitoring-AWS-OWNED-DO-NOT-DELETE`且具有僅監控許可的系統使用者。即使已啟用 LDAP 的代理程式，此使用者也會使用 RabbitMQ 的內部身分驗證系統，且僅限於循環介面存取。Amazon MQ 會新增[受保護的使用者標籤，以防止刪除此使用者](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3)。

如需有關如何為 Amazon MQ for RabbitMQ 代理程式設定 LDAP 的資訊，請參閱 [使用 LDAP 身分驗證和授權](rabbitmq-ldap-tutorial.md)。

**Topics**
+ [支援的 LDAP 組態](#ldap-supported-configs)
+ [Amazon MQ 中 LDAP 組態的其他驗證](#ldap-additional-validations)

## 支援的 LDAP 組態
<a name="ldap-supported-configs"></a>

Amazon MQ for RabbitMQ 支援 [RabbitMQ LDAP 外掛程式](https://www.rabbitmq.com/docs/ldap)中的所有可設定變數，但下列例外需要 AWS ARNs 如需 ARN 支援的詳細資訊，請參閱 [ RabbitMQ 組態中的 ARN 支援](arn-support-rabbitmq-configuration.md)。

### 需要 ARNs組態
<a name="ldap-arn-required-configs"></a>

`auth_ldap.dn_lookup_bind.password`  
改用 `aws.arns.auth_ldap.dn_lookup_bind.password`

`auth_ldap.other_bind.password`  
改用 `aws.arns.auth_ldap.other_bind.password`

`auth_ldap.ssl_options.cacertfile`  
改用 `aws.arns.auth_ldap.ssl_options.cacertfile`

`auth_ldap.ssl_options.certfile`  
改用 `aws.arns.auth_ldap.ssl_options.certfile`

`auth_ldap.ssl_options.keyfile`  
改用 `aws.arns.auth_ldap.ssl_options.keyfile`

### 不支援的 SSL 選項
<a name="ldap-unsupported-ssl-options"></a>

也不支援下列 SSL 組態選項：

#### 檢視完整清單
<a name="ldap-ssl-options-list-content"></a>
+ `auth_ldap.ssl_options.cert`
+ `auth_ldap.ssl_options.client_renegotiation`
+ `auth_ldap.ssl_options.dh`
+ `auth_ldap.ssl_options.dhfile`
+ `auth_ldap.ssl_options.honor_cipher_order`
+ `auth_ldap.ssl_options.honor_ecc_order`
+ `auth_ldap.ssl_options.key.RSAPrivateKey`
+ `auth_ldap.ssl_options.key.DSAPrivateKey`
+ `auth_ldap.ssl_options.key.PrivateKeyInfo`
+ `auth_ldap.ssl_options.log_alert`
+ `auth_ldap.ssl_options.password`
+ `auth_ldap.ssl_options.psk_identity`
+ `auth_ldap.ssl_options.reuse_sessions`
+ `auth_ldap.ssl_options.secure_renegotiate`
+ `auth_ldap.ssl_options.versions.$version`
+ `auth_ldap.ssl_options.sni`

## Amazon MQ 中 LDAP 組態的其他驗證
<a name="ldap-additional-validations"></a>

Amazon MQ 也會針對 LDAP 身分驗證和授權強制執行下列其他驗證：
+ `auth_ldap.log` 無法設定為 `network_unsafe`
+ LDAP 伺服器必須使用 LDAPS。`auth_ldap.use_ssl` 或 `auth_ldap.use_starttls` 必須明確啟用
+ 如果有任何設定需要使用 AWS ARN，`aws.arns.assume_role_arn`則必須提供 。
+ `auth_ldap.servers` 必須是有效的 IP 地址或有效的 FQDN
+ 下列金鑰必須是有效的 LDAP 辨別名稱：
  + `auth_ldap.dn_lookup_base`
  + `auth_ldap.dn_lookup_bind.user_dn`
  + `auth_ldap.other_bind.user_dn`
  + `auth_ldap.group_lookup_base`