Redis 認証

EMQX プラットフォームでは、パスワード認証の一つの方法として Redis と連携したパスワード認証をサポートしています。EMQX は Single Node、Redis Sentinel、Redis Cluster の3つの Redis デプロイモードをサポートしており、本節では関連する設定方法を紹介します。

注意

Redis 認証は EMQX Serverless のデプロイではサポートされていません。

データ構造とクエリコマンド

Redis 認証機能は、Redis ハッシュを用いて認証データを格納することをサポートしています。ユーザーはクエリコマンドのテンプレートを提供する必要があり、クエリ結果に以下のフィールドが含まれていることを保証してください。

• password_hash：必須。データベース内の平文またはハッシュ化されたパスワードのフィールド。
• salt：任意。空または存在しない場合はソルトなし（salt = ""）とみなされます。
• is_superuser：任意。現在のクライアントがスーパーユーザーかどうかを示します。デフォルトは false です。true に設定すると、そのユーザー名を使用するクライアントは認可制約の対象外となります。スーパーユーザーの設定は推奨されません。

例えば、ユーザー名 emqx_u、パスワード public、ソルト slat_foo123、sha256 でハッシュ化し、スーパーユーザーフラグを false に設定する場合は以下のようにします。

>redis-cli
127.0.0.1:6379> HSET mqtt_user:emqx_u is_superuser 1 salt slat_foo123 password_hash 44edc2d57cde8d79c98145003e105b90a14f1460b79186ea9cfe83942fc5abb5
(integer) 0

対応する設定パラメータは以下の通りです。

• パスワード暗号化方式：sha256
• ソルトモード：suffix
• クエリコマンド：HMGET mqtt_user:${username} password_hash salt is_superuser

暗号化ルール

EMQX プラットフォームの多くの外部認証はハッシュ化方式を有効にでき、パスワードの暗号文のみをデータソースに保存してデータの安全性を確保します。ハッシュ化方式を有効にすると、クライアントごとにソルトを指定でき、ソルトルールを設定可能です。データベース内のパスワードはソルトルールとハッシュ化方式に従って処理された暗号文となります。

参考：ソルトルールとハッシュ化方式

bashCopy code
## ソルトなし、平文
plain

## ソルトなし、ハッシュのみ
sha256

## ソルトをプレフィックスとして付与：salt + password の文字列を sha256 で暗号化
salt,sha256

## ソルトをサフィックスとして付与：password + salt の文字列を sha256 で暗号化
sha256,salt

## pbkdf2 with macfun iterations dklen
## macfun: md4, md5, ripemd160, sha, sha224, sha256, sha384, sha512
pbkdf2, sha256, 1000, 20

Redis 認証の設定

デプロイメント画面で Access Control - Extended Authentication をクリックし、Redis Authentication を選択して Configure をクリックします。

• Redis Mode：Redis データベースのデプロイモードを選択します。選択肢は Single、Sentinel、Cluster です。

• Server：Redis サーバーのアドレス（host:port）を入力します。デプロイモードが Sentinel または Cluster の場合は、関連するすべての Redis サーバーのアドレスをカンマ区切りで host1:port1,host2:port2,... の形式で指定してください。

  TIP

  • 現在のデプロイが Dedicated エディションの場合は、VPC Peering Connection を作成し、サーバーアドレスに内部ネットワークアドレスを使用してください。
  • BYOC エディションの場合は、パブリッククラウドコンソールで VPC Peering Connection を作成してください。詳細は Create VPC Peering Connections を参照し、サーバーアドレスには内部ネットワークアドレスを使用してください。
  • 「Init resource failure!」というメッセージが表示された場合は、サーバーアドレスの正確性とセキュリティグループの開放状況を確認してください。

• Sentinel Name：デプロイモードが Sentinel の場合にのみ必要です。Redis Sentinel の設定で必要なマスターサーバー名を指定します。

• Database：Redis データベースのインデックスを整数で指定します。

• Password（任意）：認証用パスワードを入力します。

• Enable TLS：TLS を有効にするかどうかを設定します。

• Connection Pool size（任意）：EMQX ノードから Redis データベースへの同時接続数を整数で指定します。デフォルト値は 8 です。

• Password Hash：パスワード保存に使用するハッシュアルゴリズムを選択します。例：plain、md5、sha、bcrypt、pbkdf2 など。

  • plain、md5、sha、sha256、sha512 のいずれかを選択した場合は、以下の設定も必要です。
    • Salting Position：ソルトとパスワードの結合方法を指定します。通常は変更不要ですが、外部ストレージから EMQX 内蔵データベースへアクセス認証情報を移行する際に設定します。選択肢は suffix（パスワードの末尾にソルトを付加）、prefix（パスワードの先頭にソルトを付加）、disable（無効）です。なお、plain を選択した場合はソルト方式を disable に設定してください。
  • pbkdf2 アルゴリズムを選択した場合は、以下の設定も必要です。
    • Pseudorandom function：鍵生成に使用するハッシュ関数を指定します。例：sha256 など。
    • Iteration Count：ハッシュの繰り返し回数を指定します。デフォルトは 4096 です。
    • Derived key length（任意）：生成される鍵の長さを指定します。未指定の場合は擬似乱数関数により決定されます。

• CMD：Redis クエリコマンド。以下のプレースホルダーを含めることが可能です。

  • ${clientid}：実行時にクライアントIDに置き換えられます。クライアントIDは通常、CONNECT パケットでクライアントが明示的に指定します。
  • ${username}：実行時にユーザー名に置き換えられます。ユーザー名は CONNECT パケットの Username フィールドから取得します。
  • ${password}：実行時にパスワードに置き換えられます。パスワードは CONNECT パケットの Password フィールドから取得します。
  • ${client_attrs.<attribute>}：クライアント属性。<attribute> は事前に設定された属性名に置き換えられます。