最近在研究activeMQ,在按照官网的例子和一些资料写了些小实例,并打算用它来进行发送邮件使用,使用的过程中涉及到了安全性的问题,我本是用的最新版本activemq 5.3.2但是按照官网的资料,对这个版本的安全性配置提及很少,倒是没有出来的版本5.4.0里面的配置涉及到了,下载了一个5.4.0后发现果然配置起来相当简单。但是考虑到其还未发布,因此我对低一点版本的5.2.0进行了一个配置.
下文为ActiveMQ5.2配置的过程。
参考:http://activemq.apache.org/security.html
一、JMS服务安全性
1.打开activemq.xml,在<broker></broker>中增加
<plugins>
<!-- use JAAS to authenticate using the login.config file on the classpath to configure JAAS -->
<jaasAuthenticationPlugin configuration="activemq-domain" />
<!-- lets configure a destination based authorization mechanism -->
<authorizationPlugin>
<map>
<authorizationMap>
<authorizationEntries>
<authorizationEntry queue=">" read="admins" write="admins" admin="admins" />
<authorizationEntry queue="USERS.>" read="users" write="users" admin="users" />
<authorizationEntry queue="GUEST.>" read="guests" write="guests,users" admin="guests,users" />
<authorizationEntry topic=">" read="admins" write="admins" admin="admins" />
<authorizationEntry topic="USERS.>" read="users" write="users" admin="users" />
<authorizationEntry topic="GUEST.>" read="guests" write="guests,users" admin="guests,users" />
<authorizationEntry topic="ActiveMQ.Advisory.>" read="guests,users" write="guests,users" admin="guests,users"/>
</authorizationEntries>
</authorizationMap>
</map>
</authorizationPlugin>
</plugins>
2.在conf目录下增加 login.config、groups.properties、users.properties
login.config文件 内容如下:
activemq-domain {
org.apache.activemq.jaas.PropertiesLoginModule required
debug=true
org.apache.activemq.jaas.properties.user="users.properties"
org.apache.activemq.jaas.properties.group="groups.properties";
};
groups.properties文件 内容如下:
admins=system
users.properties文件 内容如下:
system=manager
添加用户在users.properties文件下,group.properties为用户分组使用。
做好了如上的设置以后,程序再访问activeMQ的话就需要使用用户名和密码了。
二、管理控制台安全性
ActiveMQ缺省的管理是通过内置的jetty服务器,只要在浏览器中输入http://localhost:8161/admin,不需要登录,就可以对队列、主题及消息等进行管理,可以想象这非常不安全。
那么要解决管理控制台的安全性,除了通过修改管理端口号以及应用名称之外,最关键的也是需要进行配置,必须通过身份认证才能登录。
本文要说的方式主要是在不改变内置jetty的方式下,通过配置基本认证的方式来实现安全登录。
1.在activemq.xml中找到 <jetty xmlns="http://mortbay.com/schemas/jetty/1.0">,增加realm设置
<userRealms>
<jaasUserRealm name="adminRealm" loginModuleName="adminLoginModule">
</jaasUserRealm>
</userRealms>
2.在login.config增加如下配置:
adminLoginModule {
org.mortbay.jetty.plus.jaas.spi.PropertyFileLoginModule required
debug="true"
file="${activemq.base}/conf/realm.properties";
};
3.在conf中增加realm.properties文件,内容如下:
# 用户名:密码,角色
system:MD5:1d0258c2440a8d19e716292b231e3190,admins
4.把 jetty-plus-6.1.9.jar 放到 ${activemq.base}/lib/web/中
5.通过命令:java -cp jetty-6.1.9.jar;jetty-util-6.1.9.jar org.mortbay.jetty.security.Password system manager 可以修改密码的md5
6.打开webapps/admin/WEB-INF/web.xml,增加如下配置:
<security-constraint>
<web-resource-collection>
<web-resource-name>adminRealm</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admins</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>adminRealm</realm-name>
</login-config>
7.修改${activemq.base}/bin/activemq文件 找到ACTIVEMQ_OPTS,在后面追加:
%ACTIVEMQ_OPTS% %SUNJMX% %SSL_OPTS% -Djava.security.auth.login.config=%ACTIVEMQ_BASE%/conf/login.config
配置完成后,当访问http://localhost:8161/admin/时,将会弹出窗口以让用户输入登录帐号和密码。
期待5.4.0的发布,按照我下载的5.4.0,其配置远远简单了,只要修改jetty.xml的一个
<property name="authenticate" value="true" />
即可,很简单http://activemq.apache.org/web-console.html上有介绍。 不过郁闷的是5.3.2没配置出来。
下文为ActiveMQ5.2配置的过程。
参考:http://activemq.apache.org/security.html
一、JMS服务安全性
1.打开activemq.xml,在<broker></broker>中增加
<plugins>
<!-- use JAAS to authenticate using the login.config file on the classpath to configure JAAS -->
<jaasAuthenticationPlugin configuration="activemq-domain" />
<!-- lets configure a destination based authorization mechanism -->
<authorizationPlugin>
<map>
<authorizationMap>
<authorizationEntries>
<authorizationEntry queue=">" read="admins" write="admins" admin="admins" />
<authorizationEntry queue="USERS.>" read="users" write="users" admin="users" />
<authorizationEntry queue="GUEST.>" read="guests" write="guests,users" admin="guests,users" />
<authorizationEntry topic=">" read="admins" write="admins" admin="admins" />
<authorizationEntry topic="USERS.>" read="users" write="users" admin="users" />
<authorizationEntry topic="GUEST.>" read="guests" write="guests,users" admin="guests,users" />
<authorizationEntry topic="ActiveMQ.Advisory.>" read="guests,users" write="guests,users" admin="guests,users"/>
</authorizationEntries>
</authorizationMap>
</map>
</authorizationPlugin>
</plugins>
2.在conf目录下增加 login.config、groups.properties、users.properties
login.config文件 内容如下:
activemq-domain {
org.apache.activemq.jaas.PropertiesLoginModule required
debug=true
org.apache.activemq.jaas.properties.user="users.properties"
org.apache.activemq.jaas.properties.group="groups.properties";
};
groups.properties文件 内容如下:
admins=system
users.properties文件 内容如下:
system=manager
添加用户在users.properties文件下,group.properties为用户分组使用。
做好了如上的设置以后,程序再访问activeMQ的话就需要使用用户名和密码了。
二、管理控制台安全性
ActiveMQ缺省的管理是通过内置的jetty服务器,只要在浏览器中输入http://localhost:8161/admin,不需要登录,就可以对队列、主题及消息等进行管理,可以想象这非常不安全。
那么要解决管理控制台的安全性,除了通过修改管理端口号以及应用名称之外,最关键的也是需要进行配置,必须通过身份认证才能登录。
本文要说的方式主要是在不改变内置jetty的方式下,通过配置基本认证的方式来实现安全登录。
1.在activemq.xml中找到 <jetty xmlns="http://mortbay.com/schemas/jetty/1.0">,增加realm设置
<userRealms>
<jaasUserRealm name="adminRealm" loginModuleName="adminLoginModule">
</jaasUserRealm>
</userRealms>
2.在login.config增加如下配置:
adminLoginModule {
org.mortbay.jetty.plus.jaas.spi.PropertyFileLoginModule required
debug="true"
file="${activemq.base}/conf/realm.properties";
};
3.在conf中增加realm.properties文件,内容如下:
# 用户名:密码,角色
system:MD5:1d0258c2440a8d19e716292b231e3190,admins
4.把 jetty-plus-6.1.9.jar 放到 ${activemq.base}/lib/web/中
5.通过命令:java -cp jetty-6.1.9.jar;jetty-util-6.1.9.jar org.mortbay.jetty.security.Password system manager 可以修改密码的md5
6.打开webapps/admin/WEB-INF/web.xml,增加如下配置:
<security-constraint>
<web-resource-collection>
<web-resource-name>adminRealm</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admins</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>adminRealm</realm-name>
</login-config>
7.修改${activemq.base}/bin/activemq文件 找到ACTIVEMQ_OPTS,在后面追加:
%ACTIVEMQ_OPTS% %SUNJMX% %SSL_OPTS% -Djava.security.auth.login.config=%ACTIVEMQ_BASE%/conf/login.config
配置完成后,当访问http://localhost:8161/admin/时,将会弹出窗口以让用户输入登录帐号和密码。
期待5.4.0的发布,按照我下载的5.4.0,其配置远远简单了,只要修改jetty.xml的一个
<property name="authenticate" value="true" />
即可,很简单http://activemq.apache.org/web-console.html上有介绍。 不过郁闷的是5.3.2没配置出来。
扫一扫
662
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
