5.5. 인증 및 권한 부여에 Kerberos 사용
AMQP 프로토콜을 사용하여 메시지를 보내고 받을 때 클라이언트는 SMTP( Simple Authentication and Security Layer ) 프레임워크의 GSSAPI 메커니즘을 사용하여 AMQ Broker가 인증하는 Kerberos 보안 자격 증명을 보낼 수 있습니다. Kerberos 자격 증명은 인증된 사용자를 LDAP 디렉터리 또는 텍스트 기반 속성 파일에 구성된 할당된 역할에 매핑하여 권한 부여에 사용할 수도 있습니다.
TLS( Transport Layer Security )와 함께 SASL을 사용하여 메시징 애플리케이션을 보호할 수 있습니다. SASL은 사용자 인증을 제공하며 TLS는 데이터 무결성을 제공합니다.
AMQ Broker가 Kerberos 인증 정보를 인증하고 인증하기 전에 Kerberos 인프라를 배포하고 구성해야 합니다. Kerberos 배포에 대한 자세한 내용은 운영 체제 설명서를 참조하십시오.
- RHEL 7의 경우 시스템 수준 인증 가이드의 " Kerberos 사용"을 참조하십시오.
- Windows의 경우 Kerberos 인증 개요 를 참조하십시오.
- Oracle 또는 IBM JDK 사용자는 JCE(Java Cryptography Extension)를 설치해야 합니다. 자세한 내용은 JCE 의 Oracle 버전 또는 JCE IBM 버전의 설명서를 참조하십시오.
다음 절차에서는 인증 및 권한 부여를 위해 Kerberos를 구성하는 방법을 보여줍니다.
5.5.1. Kerberos를 사용하도록 네트워크 연결 구성
AMQ Broker는 SASL( Simple Authentication and Security Layer ) 프레임워크의 GSSAPI 메커니즘을 사용하여 Kerberos 보안 인증 정보와 통합됩니다. AMQ Broker에서 Kerberos를 사용하려면 Kerberos 인증 또는 인증 클라이언트를 수락하거나 승인할 때마다 GSSAPI 메커니즘을 사용하도록 구성해야 합니다.
다음 절차에서는 Kerberos를 사용하도록 수락자를 구성하는 방법을 보여줍니다.
사전 요구 사항
- AMQ Broker가 Kerberos 인증 정보를 인증하고 인증하기 전에 Kerberos 인프라를 배포하고 구성해야 합니다.
절차
브로커를 중지합니다.
Linux의 경우:
<broker_instance_dir>/bin/artemis stopWindows에서:
<broker_instance_dir>\bin\artemis-service.exe stop
-
<
broker_instance_dir> /etc/broker.xml구성 파일을 엽니다. 허용자 URL의 쿼리 문자열에 이름-값 쌍saslMechanisms=GSSAPI를 추가합니다.<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI </acceptor>
앞의 구성은 수락자가 Kerberos 자격 증명을 인증할 때 GSSAPI 메커니즘을 사용한다는 것을 의미합니다.
(선택 사항)
PLAIN및ANONYMOUSSASL 메커니즘도 지원됩니다. 여러 메커니즘을 지정하려면 쉼표로 구분된 목록을 사용합니다. 예를 들면 다음과 같습니다.<acceptor name="amqp"> tcp://0.0.0.0:5672?protocols=AMQP;saslMechanisms=GSSAPI,PLAIN </acceptor>
그 결과 GSSAPI 및
PLAINSASL 메커니즘을모두사용하는 수락자가 있습니다.브로커를 시작합니다.
Linux의 경우:
<broker_instance_dir>/bin/artemis runWindows에서:
<broker_instance_dir>\bin\artemis-service.exe start
추가 리소스
- 수락자에 대한 자세한 내용은 2.1절. “승인자 정보” 을 참조하십시오.
