LDAP 认证/访问控制

LDAP 认证/访问控制使用外部 OpenLDAP 服务器作为认证数据源,可以存储大量数据,同时方便与外部设备管理系统集成。

创建模块

打开 EMQ X DashboardLDAP 认证/访问控制 - 图1 (opens new window),点击左侧的 “模块” 选项卡,选择添加:

image-20200928161310952

选择 LDAP 认证/访问控制模块

image-20200928144927769

配置OpenLDAP相关参数

image-20200928144945076

最后点击“添加”按钮,模块即可添加成功:

image-20200928145033628

LDAP Schema

需要在 LDAP schema 目录配置数据模型,默认配置下数据模型如下:

/etc/openldap/schema/emqx.schema

  1. attributetype ( 1.3.6.1.4.1.11.2.53.2.2.3.1.2.3.1.3 NAME 'isEnabled'
  2. EQUALITY booleanMatch
  3. SYNTAX 1.3.6.1.4.1.1466.115.121.1.7
  4. SINGLE-VALUE
  5. USAGE userApplications )
  7. attributetype ( 1.3.6.1.4.1.11.2.53.2.2.3.1.2.3.4.1 NAME ( 'mqttPublishTopic' 'mpt' )
  8. EQUALITY caseIgnoreMatch
  9. SUBSTR caseIgnoreSubstringsMatch
  10. SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
  11. USAGE userApplications )
  12. attributetype ( 1.3.6.1.4.1.11.2.53.2.2.3.1.2.3.4.2 NAME ( 'mqttSubscriptionTopic' 'mst' )
  13. EQUALITY caseIgnoreMatch
  14. SUBSTR caseIgnoreSubstringsMatch
  15. SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
  16. USAGE userApplications )
  17. attributetype ( 1.3.6.1.4.1.11.2.53.2.2.3.1.2.3.4.3 NAME ( 'mqttPubSubTopic' 'mpst' )
  18. EQUALITY caseIgnoreMatch
  19. SUBSTR caseIgnoreSubstringsMatch
  20. SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
  21. USAGE userApplications )
  23. objectclass ( 1.3.6.1.4.1.11.2.53.2.2.3.1.2.3.4 NAME 'mqttUser'
  24. AUXILIARY
  25. MAY ( mqttPublishTopic $ mqttSubscriptionTopic $ mqttPubSubTopic) )
  27. objectclass ( 1.3.6.1.4.1.11.2.53.2.2.3.1.2.3.2 NAME 'mqttDevice'
  28. SUP top
  29. STRUCTURAL
  30. MUST ( uid )
  31. MAY ( isEnabled ) )
  33. objectclass ( 1.3.6.1.4.1.11.2.53.2.2.3.1.2.3.3 NAME 'mqttSecurity'
  34. SUP top
  35. AUXILIARY
  36. MAY ( userPassword $ userPKCS12 $ pwdAttribute $ pwdLockout ) )

编辑 ldap 的配置文件 slapd.conf 引用 Schema:

/etc/openldap/slapd.conf

  1. include  /etc/openldap/schema/core.schema
  2. include  /etc/openldap/schema/cosine.schema
  3. include  /etc/openldap/schema/inetorgperson.schema
  4. include  /etc/openldap/schema/ppolicy.schema
  5. include  /etc/openldap/schema/emqx.schema
  7. database bdb
  8. suffix "dc=emqx,dc=io"
  9. rootdn "cn=root,dc=emqx,dc=io"
  10. rootpw {SSHA}eoF7NhNrejVYYyGHqnt+MdKNBh4r1w3W
  12. directory       /etc/openldap/data

默认配置下示例数据如下:

  1. ## create emqx.io
  3. dn:dc=emqx,dc=io
  4. objectclass: top
  5. objectclass: dcobject
  6. objectclass: organization
  7. dc:emqx
  8. o:emqx,Inc.
  10. # create testdevice.emqx.io
  11. dn:ou=testdevice,dc=emqx,dc=io
  12. objectClass: top
  13. objectclass:organizationalUnit
  14. ou:testdevice
  16. dn:uid=mqttuser0001,ou=testdevice,dc=emqx,dc=io
  17. objectClass: top
  18. objectClass: mqttUser
  19. objectClass: mqttDevice
  20. objectClass: mqttSecurity
  21. uid: mqttuser0001
  22. isEnabled: TRUE
  23. mqttAccountName: user1
  24. mqttPublishTopic: mqttuser0001/pub/1
  25. mqttSubscriptionTopic: mqttuser0001/sub/1
  26. mqttPubSubTopic: mqttuser0001/pubsub/1
  27. userPassword:: e1NIQX1tbGIzZmF0NDBNS0JUWFVWWndDS21MNzNSLzA9

启用 LDAP 认证后,你可以通过用户名: mqttuser0001,密码:public 连接。

LDAP 访问控制配置方式

mqttPublishTopic 允许发布的主题(可以配置多个)

mqttSubscriptionTopic 允许订阅的主题(可以配置多个)

mqttPubSubTopic 允许订阅/发布的主题(可以配置多个)

WARNING

目前版本仅支持 OpenLDAP,不支持 Microsoft Active Directory。