Rabbitmq 无法与 Active Directory 通信

tag-icon tag-icon active-directory ldap openldap rabbitmq
Rabbitmq 无法与 Active Directory 通信

我有一个 rabbitmq 服务器,需要将其连接到 AD。

配置是使用 puppet rabbitmq 模块设置的,并进行了一些小的手动更改(日志级别):

% This file managed by Puppet
% Template Path: rabbitmq/templates/rabbitmq.config
[
  {rabbit, [
    {auth_backends, [rabbit_auth_backend_internal, rabbit_auth_backend_ldap]},
    {tcp_listen_options,
         [binary,
         {packet,        raw},
         {reuseaddr,     true},
         {backlog,       128},
         {nodelay,       true},
         {exit_on_close, false}]
    },
    {default_user, <<"guest">>},
    {default_pass, <<"guest">>}
  ]},
  {kernel, [

  ]}
,
  {rabbitmq_management, [
    {listener, [
      {port, 15672}
    ]}
  ]}
,
% Configure the LDAP authentication plugin
  {rabbitmq_auth_backend_ldap, [
    {other_bind, anon},
    {servers, ["ldap"]},
    {user_dn_pattern, "CN=Rabbitmq LDAP User,OU=Service Accounts,DC=very,DC=chill,DC=domain"},
    {use_ssl, false},
    {port, 389},
    {log, network}
  ]}
].
% EOF

我尝试登录管理插件的 Web 控制台时的错误日志:

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
LDAP CHECK: login for myuser

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
        LDAP filling template "CN=Rabbitmq LDAP User,OU=Service Accounts,DC=very,DC=chill,DC=domain" with
            [{username,<<"myuser">>}]

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
        LDAP template result: "CN=Rabbitmq LDAP User,OU=Service Accounts,DC=very,DC=chill,DC=domain"

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
    LDAP connecting to servers: ["ldap.very.chill.domain"]

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
    LDAP network traffic: Connect: "ldap.very.chill.domain" failed {error,
                                                                  eacces}

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
    LDAP connect error: {error,"connect failed"}

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
LDAP DECISION: login for myuser: {error,"connect failed"}

=ERROR REPORT==== 18-Dec-2015::18:01:03 ===
webmachine error: path="/api/whoami"
"Unauthorized"

这在 AD 的服务器端没有留下任何日志,因此我运行了 tcpdump:

tcpdump -nnS -i ens160 | grep -vi arp | grep ldap.server.ip
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens160, link-type EN10MB (Ethernet), capture size 65535 bytes

这表明没有任何数据包发送到 ldap:389 端口。

因此我从 Rabbit 服务器机器执行了此操作以确保网络没有问题:

ldapsearch -x -h 'ldap.very.chill.domain' -p 389 -w "VerySec*" -D "CN=Rabbitmq LDAP User,OU=Service Accounts,DC=very,DC=chill,DC=domain" -b "DC=very,dc=chill,dc=domain"

本次查询过程中的 tcp dump 显示有数据包发送到 389,查询成功。

所以我的假设是 rabbitmq 配置中存在某些东西使得它甚至不会尝试向 ldap 服务器方向发送任何数据包。

如能提供任何线索我将不胜感激。

答案1

SELinux 默认会阻止大多数守护进程进行出站连接。在 RHEL 7 中,这些策略变得更加具体(在某些情况下更加严格)。

进行setenforce 0测试,如果有效,则使用它sealert来分析/var/log/audit/audit.log文件以确定要采取什么操作。CentOS wiki 上的 SELinux 页面可能是互联网上最好的 SELinux 资源:https://wiki.centos.org/HowTos/SELinux

相关内容