我已将RabbitMQ服务器配置为使用LDAP身份验证,并使用advanced.config文件标记用户。
我当前的配置类似于:
auth_ldap.servers.1 = DC001.mydomain.net
auth_ldap.servers.2 = DC002.mydomain.net
auth_ldap.use_ssl = true
auth_ldap.port = 636
auth_ldap.dn_lookup_attribute = userPrincipalName
auth_ldap.dn_lookup_base = DC=mydomain,DC=net
[{rabbitmq_auth_backend_ldap,
[
{vhost_access_query, {in_group, "cn=RabbitUsers-${vhost},OU=Security Groups,DC=mydomain,DC=net"}},
{tag_queries, [ {administrator, {in_group, "CN=RabbitAdmins,OU=Security Groups,DC=mydomain,DC=net"}},
{management, {in_group, "CN=RabbitAdmins,OU=Security Groups,DC=mydomain,DC=net"}}]}
]
}].
这可行,但是我必须以myuser@mydomain.net形式和密码登录用户。
如果将dn_lookup_attribute更改为SAMAccountName,则可以使用mydomain \ myuser形式登录,但是使用tag_queries进行的授权不起作用;我的猜测是,它试图将完全合格的用户名(domain \ user)与仅属于这些组成员的用户名列表进行匹配。
我已经阅读了文档,并且在日志中看到,有两个新变量ad_domain和ad_user可以用来代替用户名,但是我不知道应该在哪里指出这些变量ldap_plugin以使用它们...
有人可以提供一些样品吗?
答案 0 :(得分:0)
我在邮件列表中回答了这个问题:
https://groups.google.com/d/topic/rabbitmq-users/Dby1OWQKLs8/discussion
注意: RabbitMQ团队监视rabbitmq-users
mailing list,并且有时仅在StackOverflow上回答问题。