EMQX-AUTH-LDAP 使用指南：安全连接 LDAP 和 MQTT

引言

在物联网 (IoT) 和消息传递领域，安全性和身份验证至关重要。MQTT 协议已成为连接 IoT 设备和应用程序的首选，而 LDAP 是一种广泛使用的目录服务，用于存储和管理用户身份信息。将这两种技术结合起来可以显著提高 MQTT 部署的安全性。

EMQX-AUTH-LDAP 插件通过桥接 MQTT 和 LDAP 服务，提供了这种集成，使您可以轻松地使用 LDAP 目录来验证 MQTT 客户端的连接请求。本指南将详细介绍 EMQX-AUTH-LDAP 的安装、配置和使用，帮助您创建安全可靠的 MQTT 环境。

理解 LDAP 和 MQTT

LDAP（轻量级目录访问协议） 是一种基于 X.500 目录服务的轻量级访问协议。它使用分层结构来存储和组织用户和组信息，提供高效的身份验证和授权服务。

MQTT（消息队列遥测传输） 是一种轻量级消息传递协议，用于机器对机器 (M2M) 通信。它使用发布/订阅模型，使客户端可以订阅主题并从 MQTT 代理接收消息。

安装 EMQX-AUTH-LDAP

EMQX-AUTH-LDAP 插件是 EMQX 代理的附加组件，需要单独安装。请按照以下步骤进行安装：

1. 克隆 EMQX-AUTH-LDAP 存储库：git clone https://github.com/emqx/emqx-auth-ldap.git
2. 编译插件：cd emqx-auth-ldap && make
3. 将编译后的插件复制到 EMQX 插件目录：cp *.so /usr/local/emqx/plugins
4. 重启 EMQX 代理：systemctl restart emqx@1.16.1.service

配置 EMQX-AUTH-LDAP

要配置 EMQX-AUTH-LDAP，您需要编辑 EMQX 的配置文件 /etc/emqx/emqx.conf。在 plugins 部分中，添加以下配置：

## LDAP authentication plugin configuration
listener.tcp.external.auth_ldap.enable = true
listener.tcp.external.auth_ldap.host = "ldap.example.com"
listener.tcp.external.auth_ldap.port = 389
listener.tcp.external.auth_ldap.base = "dc=example,dc=com"
listener.tcp.external.auth_ldap.binddn = "cn=admin,dc=example,dc=com"
listener.tcp.external.auth_ldap.bindpasswd = "mypassword"

• host：LDAP 服务器的主机名或 IP 地址。
• port：LDAP 服务器的端口。
• base：用户和组信息所在的 LDAP 搜索基准。
• binddn：用于绑定到 LDAP 服务器的 distinguished name (DN)。
• bindpasswd：用于绑定到 LDAP 服务器的密码。

使用 EMQX-AUTH-LDAP

配置完成后，您可以使用 LDAP 凭据连接到 EMQX 代理。MQTT 客户端可以使用以下连接参数：

• username：LDAP 用户名（例如 cn=user,dc=example,dc=com）。
• password：LDAP 密码。

成功连接后，MQTT 客户端将被授权发布和订阅 MQTT 主题。

安全注意事项

在使用 EMQX-AUTH-LDAP 时，请考虑以下安全注意事项：

• 使用安全连接（例如 TLS）连接到 LDAP 服务器。
• 使用强密码并定期更改它们。
• 限制对 LDAP 目录的访问权限。
• 监控 LDAP 活动并调查任何可疑行为。

故障排除

如果您在使用 EMQX-AUTH-LDAP 时遇到问题，请检查以下内容：

• 确保 EMQX-AUTH-LDAP 插件已正确安装和启用。
• 验证 LDAP 服务器配置是否正确。
• 检查 MQTT 客户端的凭据是否正确。
• 在 EMQX 日志文件中查找错误消息。

总结

EMQX-AUTH-LDAP 插件提供了 MQTT 和 LDAP 之间的无缝集成，使您能够创建安全可靠的 MQTT 环境。通过利用 LDAP 的用户管理功能，您可以轻松地验证 MQTT 客户端并授权它们访问特定的主题。遵循本指南中的步骤，您可以轻松地配置和使用 EMQX-AUTH-LDAP，从而显著提高 MQTT 部署的安全性。