EMQX Platform

日本語

简体中文
English

日本語

简体中文
English

Appearance

お問い合わせ

PostgreSQL 認証

拡張認証では、PostgreSQL 統合によるパスワード認証をサポートしています。

注意

PostgreSQL 認証は EMQX Serverless のデプロイメントではサポートされていません。

テーブル構造とクエリ文

PostgreSQL 認証機能は、複数テーブルの結合クエリやビューからのクエリを含む任意のテーブル構造をサポートできます。ユーザーはクエリ用の SQL テンプレートを提供し、クエリ結果に以下のフィールドが含まれている必要があります。

  • password_hash:必須。データベース内の平文またはハッシュ化されたパスワードフィールド。
  • salt:任意。空または存在しない場合は空のソルト(salt = "")として扱われます。
  • is_superuser:任意。現在のクライアントがスーパーユーザーかどうかを示します。デフォルトは false です。true に設定すると、そのユーザー名を使用するクライアントは認可制約を受けません。スーパーユーザーの設定は推奨されません。

テーブル構造の例:

sql
CREATE TABLE `mqtt_user` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(100) DEFAULT NULL,
  `password_hash` varchar(100) DEFAULT NULL,
  `salt` varchar(35) DEFAULT NULL,
  `created` datetime DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `mqtt_username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

TIP

上記の例では、クエリを効率化するために暗黙の UNIQUE インデックスフィールド(username)を作成しています。ユーザー数が多いシステムでは、クエリ対象のテーブルが最適化され、有効なインデックスを使用していることを確認してください。これにより、多数の接続時のデータ検索速度が向上し、EMQX の負荷軽減につながります。

このテーブルでは username を検索条件として使用します。例えば、ユーザー名 emqx_u、パスワード public、ソルト slat_foo123、ハッシュ方式 sha256、スーパーユーザーフラグ false のユーザーを追加する場合:

sql
mysql> INSERT INTO mqtt_user(username, password_hash, salt, is_superuser) VALUES ('emqx_u', SHA2(concat('public', 'slat_foo123'), 256), 'slat_foo123', 0);
Query OK, 1 row affected (0.01 sec)

対応するクエリ文およびパスワードハッシュ方式の設定パラメータは以下の通りです。

  • パスワード暗号化方式:sha256
  • ソルトモード:suffix
  • SQL:
sql
SELECT password_hash, salt, is_superuser FROM mqtt_user WHERE username = ${username} LIMIT 1

PostgreSQL 認証の設定

デプロイメント画面で、アクセス制御 -> 拡張認証 をクリックし、PostgreSQL 認証 を選択して 設定 をクリックします。

以下の関連設定を行えます。

  • サーバー:PostgreSQL サーバーのアドレス(host:port)を入力します。

    TIP

    • 現在のデプロイメントが Dedicated エディションの場合は、VPC ピアリング接続を作成し、内部ネットワークアドレスをサーバーアドレスとして使用してください。
    • BYOC エディションの場合は、パブリッククラウドコンソールで VPC ピアリング接続を作成してください。詳細はCreate VPC Peering Connectionsを参照し、内部ネットワークアドレスをサーバーアドレスとして使用します。
    • 「Init resource failure!」というメッセージが表示された場合は、サーバーアドレスの正確性とセキュリティグループの開放状況を確認してください。

  • データベース:PostgreSQL データベース名を入力します。

  • ユーザー名(任意):ユーザー名を入力します。

  • パスワード(任意):パスワードを入力します。

  • TLS 有効化:TLS を有効にするかどうかを設定します。

  • 接続プールサイズ(任意):EMQX ノードから PostgreSQL データベースへの同時接続数を整数で指定します。デフォルト値は 8 です。

  • クエリタイムアウト:接続のタイムアウト時間を入力します。単位は時間、分、秒、ミリ秒が選択可能です。

  • パスワードハッシュ:パスワード保存に使用するハッシュアルゴリズムを選択します。例:plain、md5、sha、bcrypt、pbkdf2 など。

    • plainmd5shasha256sha512 の場合は以下も設定が必要です。
      • ソルト位置:ソルトをパスワードにどのように結合するかを指定します。通常は変更不要ですが、外部ストレージから EMQX 内蔵データベースへ認証情報を移行する場合に設定します。選択肢は suffix(パスワードの末尾にソルトを追加)、prefix(パスワードの先頭にソルトを追加)、disable(ソルトを使用しない)です。なお、plain を選択した場合はソルトモードを disable に設定してください。
    • pbkdf2 アルゴリズムの場合は以下も設定が必要です。
      • 疑似乱数関数:キー生成に使用するハッシュ関数を指定します。例:sha256。
      • 反復回数:ハッシュの繰り返し回数を指定します。デフォルトは 4096。
      • 派生キー長(任意):生成するキーの長さを指定します。未指定の場合は疑似乱数関数により決定されます。

  • SQL:テーブル構造に応じたクエリ SQL を記入します。詳細はSQL テーブル構造とクエリ文を参照してください。