Rabbitmq não vai falar com o Active Directory

4

Eu tenho um servidor rabbitmq que preciso conectar ao AD.

A configuração é definida usando o módulo puppet rabbitmq, com algumas pequenas alterações manuais (nível de log):

% This file managed by Puppet
% Template Path: rabbitmq/templates/rabbitmq.config
[
  {rabbit, [
    {auth_backends, [rabbit_auth_backend_internal, rabbit_auth_backend_ldap]},
    {tcp_listen_options,
         [binary,
         {packet,        raw},
         {reuseaddr,     true},
         {backlog,       128},
         {nodelay,       true},
         {exit_on_close, false}]
    },
    {default_user, <<"guest">>},
    {default_pass, <<"guest">>}
  ]},
  {kernel, [

  ]}
,
  {rabbitmq_management, [
    {listener, [
      {port, 15672}
    ]}
  ]}
,
% Configure the LDAP authentication plugin
  {rabbitmq_auth_backend_ldap, [
    {other_bind, anon},
    {servers, ["ldap"]},
    {user_dn_pattern, "CN=Rabbitmq LDAP User,OU=Service Accounts,DC=very,DC=chill,DC=domain"},
    {use_ssl, false},
    {port, 389},
    {log, network}
  ]}
].
% EOF

O log de erros quando tento efetuar login no console da web do plug-in de gerenciamento:

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
LDAP CHECK: login for myuser

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
        LDAP filling template "CN=Rabbitmq LDAP User,OU=Service Accounts,DC=very,DC=chill,DC=domain" with
            [{username,<<"myuser">>}]

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
        LDAP template result: "CN=Rabbitmq LDAP User,OU=Service Accounts,DC=very,DC=chill,DC=domain"

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
    LDAP connecting to servers: ["ldap.very.chill.domain"]

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
    LDAP network traffic: Connect: "ldap.very.chill.domain" failed {error,
                                                                  eacces}

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
    LDAP connect error: {error,"connect failed"}

=INFO REPORT==== 18-Dec-2015::18:01:03 ===
LDAP DECISION: login for myuser: {error,"connect failed"}

=ERROR REPORT==== 18-Dec-2015::18:01:03 ===
webmachine error: path="/api/whoami"
"Unauthorized"

Isso não deixou nenhum log no lado do servidor do AD, então eu corri um tcpdump:

tcpdump -nnS -i ens160 | grep -vi arp | grep ldap.server.ip
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens160, link-type EN10MB (Ethernet), capture size 65535 bytes

Que mostrou que nenhum pacote enviava para o ldap: 389 port.

Então eu fiz isso da máquina do servidor do coelho para ter certeza de que não há problemas com a rede:

ldapsearch -x -h 'ldap.very.chill.domain' -p 389 -w "VerySec*" -D "CN=Rabbitmq LDAP User,OU=Service Accounts,DC=very,DC=chill,DC=domain" -b "DC=very,dc=chill,dc=domain"

O despejo de tcp durante essa consulta mostrou que havia pacotes enviados para 389 e a consulta foi bem-sucedida.

Então, minha suposição é que há algo na configuração rabbitmq que faz com que nem tente enviar nenhum pacote na direção do servidor ldap.

Ficaria grato por quaisquer pistas.

    
por user3081519 18.12.2015 / 19:16

1 resposta

5

O SELinux, por padrão, bloqueará a maioria dos daemons de conectar-se à saída. No RHEL 7, essas políticas ficaram mais específicas (e, em alguns casos, mais restritivas).

Execute setenforce 0 para testar e, se funcionar, use sealert para analisar seu arquivo /var/log/audit/audit.log para determinar o curso de ação a ser realizado. A página wiki do CentOS no SELinux é provavelmente o melhor recurso do SELinux na Internet: link

    
por 18.12.2015 / 22:41