JMS 之 Active MQ的安全机制

activemq分为控制端和客户端，下面分别介绍安全认证配置方法。

1.控制端安全配置

(1). ActiveMQ目录conf下找到jetty.xml：

<bean id="securityConstraint" class="org.eclipse.jetty.util.security.Constraint">    <property name="name" value="BASIC" />    <property name="roles" value="user,admin" />    <!-- set authenticate=false to disable login -->    <property name="authenticate" value="true" /></bean>

含义：

<property name="authenticate" value="true" />    　　true：需要认证； false：不需要认证

(2). ActiveMQ目录conf下找到jetty-realm.properties

 

# username: password [,rolename ...]admin: admin123, adminuser: user, user

说明：

第一个admin，为认证用户名。 
第二个admin123，为认证密码。 
第三个admin，为角色。

(3).  重启ActiveMQ验证是否需要认证
重启activemq后，访问：http://127.0.0.1:8161/admin/，弹出http基本认证框，这时候认证生效。

 

1.客户端安全配置

(1). 解压目录/conf/activemq.xml的broken中添加：

        <plugins>            <!--  use JAAS to authenticate using the login.config file on the classpath to configure JAAS -->
　　　　　　　<!--  添加jaas认证插件activemq在login.config里面定义,详细见login.config-->

            <jaasAuthenticationPlugin configuration="activemq" />

            <!--  lets configure a destination based authorization mechanism -->            <authorizationPlugin>                <map>                    <authorizationMap>                        <authorizationEntries>                            <authorizationEntry topic=">" read="admins" write="admins" admin="admins" />                            <authorizationEntry queue=">" read="admins" write="admins" admin="admins" />
                            <!--authorizationEntry topic="FirstTopic" read="smeall,smeadmin" write="smeadmin" admin="smeall,smeadmin" /-->                            <authorizationEntry topic="ActiveMQ.Advisory.>" read="admins" write="admins" admin="admins"/>                            <authorizationEntry queue="ActiveMQ.Advisory.>" read="admins" write="admins" admin="admins"/>                        </authorizationEntries>                    </authorizationMap>                </map>            </authorizationPlugin>        </plugins>

1.<jaasAuthenticationPlugin configuration="activemq" />指定了使用JAAS插件管理权限，至于configuration="activemq"是在login.conf文件里定义的

2.<authorizationEntry topic="FirstTopic" read="smeall,smeadmin" write="smeadmin" admin="smeall,smeadmin" />指定了具体的Topic/Queue与用户组的授权关系

3.<authorizationEntry topic="ActiveMQ.Advisory.>" read="admins" write="admins" admin="admins"/>这个是必须的配置，不能少

备注：上述2中指定了用户组和 队列和主题 之间的授权关系。 一开始我以为是授权用户组与管道之间的关系后来发现错了的，是授权用户组与队列的关系。那么对于刚接触activemq的小白来说，你还不知道消息队列和主题都是通过管理URL进行添加删除的。

若是集群则broken中继续添加：

        <networkConnectors>            <networkConnector userName="用户名" password="密码" uri="static:(tcp://localhost:61616)" duplex="true"/>        </networkConnectors>

 此配置可以忽略掉

(2). 解压目录/conf/login.config中：

 activemq{    org.apache.activemq.jaas.PropertiesLoginModule required    debug=true    org.apache.activemq.jaas.properties.user="users.properties"     org.apache.activemq.jaas.properties.group="groups.properties";};

(3). 解压目录/conf/groups.properties中：

admins=用户名

(4). 解压目录/conf/users.properties中：

用户名=密码

 

 

三。其他配置说明

除了安全验证的配置需要我们理解，还有一部分配置需要理解：

        <transportConnectors>            <!-- DOS protection, limit concurrent connections to 1000 and frame size to 100MB -->            <transportConnector name="openwire" uri="tcp://10.8.0.1:61616?maximumConnections=1000&amp;wireFormat.maxFrameSize=104857600"/>            <transportConnector name="amqp" uri="amqp://10.8.0.1:5672?maximumConnections=1000&amp;wireFormat.maxFrameSize=104857600"/>            <transportConnector name="stomp" uri="stomp://10.8.0.1:61613?maximumConnections=1000&amp;wireFormat.maxFrameSize=104857600"/>            <transportConnector name="mqtt" uri="mqtt://10.8.0.1:1883?maximumConnections=1000&amp;wireFormat.maxFrameSize=104857600"/>            <transportConnector name="ws" uri="ws://10.8.0.1:61614?maximumConnections=1000&amp;wireFormat.maxFrameSize=104857600"/>        </transportConnectors>

上述中的

name="openwire" uri="tcp://10.8.0.1:61616?ma

name="amqp" uri="amqp://10.8.0.1:5672?max
其中 tcp:// 和 amqp:// 这都是指协议，而name是随意定义的，但是这个name是在管理url界面中显示的，如图：

# cat /etc/hosts::1         localhost localhost.localdomain localhost6 localhost6.localdomain6127.0.0.1 quanli_dev02.fistforward.com10.8.0.1 quanli_dev02.fistforward.com

# cat /etc/sysconfig/networkNETWORKING=yesNETWORKING_IPV6=noPEERNTP=noGATEWAY=10.8.3.253HOSTNAME=quanli_dev02.fistforward.com