EMQX 启用MySQL ACL 权限控制功能

EMQX 启用MySQL ACL 权限控制功能

认证

身份认证是大多数应用的重要组成部分，MQTT 协议支持用户名密码认证，启用身份认证能有效阻止非法客户端的连接。EMQX 中的认证指的是当一个客户端连接到 EMQX 的时候，通过服务器端的配置来控制客户端连接服务器的权限。EMQX 的认证支持包括两个层面：

• MQTT 协议本身在 CONNECT 报文中指定用户名和密码，EMQX 以插件形式支持基于 Username、ClientID、HTTP、JWT、LDAP 及各类数据库如 MongoDB、MySQL、PostgreSQL、Redis 等多种形式的认证。
• 在传输层上，TLS 可以保证使用客户端证书的客户端到服务器的身份验证，并确保服务器向客户端验证服务器证书。也支持基于 PSK 的 TLS/DTLS 认证。

修改EMQX的服务的配置文件

1、EMQ X 默认配置中启用了匿名认证，任何客户端都能接入 EMQX。没有启用认证插件或认证插件没有显式允许/拒绝（ignore）连接请求时，EMQX 将根据匿名认证启用情况决定是否允许客户端连接。配置匿名认证开关,emqx的配置文件路劲,(userpath)/etc/emqx.conf

2、把EMQX最基本的ACL配置文件设置一下，（userpath)/etc/acl.conf

3、修改MySQL ACL 插件的配置文件:MySQL 基础连接信息，需要保证集群内所有节点均能访问。

配置文件路径(userpath)/etc/plugins/emqx_auth_mysql.conf

4、MySQL 认证插件默认配置下需要确保数据库中有以下两张数据表，用于存储认证规则信息

1）认证/超级用户表mqtt_user:

CREATE TABLE mqtt_user (

id int(11) unsigned NOT NULL AUTO_INCREMENT,

username varchar(100) DEFAULT NULL,

password varchar(100) DEFAULT NULL,

salt varchar(35) DEFAULT NULL,

is_superuser tinyint(1) DEFAULT 0,

created datetime DEFAULT NULL,

PRIMARY KEY (id),

UNIQUE KEY mqtt_username (username)

) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

2）给mqtt_user表中插入数据例子：

insert into mqtt_user (username, password, is_superuser, salt) values ('shen', '123456', 0, 'salt');

· 1

3）ACL 规则表：mqtt_acl，用于权限控制

CREATE TABLE mqtt_acl (

id int(11) unsigned NOT NULL AUTO_INCREMENT,

allow int(1) DEFAULT 1 COMMENT '0: deny, 1: allow',

ipaddr varchar(60) DEFAULT NULL COMMENT 'IpAddress',

username varchar(100) DEFAULT NULL COMMENT 'Username',

clientid varchar(100) DEFAULT NULL COMMENT 'ClientId',

access int(2) NOT NULL COMMENT '1: subscribe, 2: publish, 3: pubsub',

topic varchar(100) NOT NULL DEFAULT '' COMMENT 'Topic Filter',

PRIMARY KEY (id),

INDEX (ipaddr),

INDEX (username),

INDEX (clientid)

) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

规则表字段说明：

· allow：禁止（0），允许（1）

· ipaddr：设置 IP 地址

· username：连接客户端的用户名，此处的值如果设置为 $all 表示该规则适用于所有的用户

· clientid：连接客户端的 Client ID

· access：允许的操作：订阅（1），发布（2），订阅发布都可以（3）

· topic：控制的主题，可以使用通配符，并且可以在主题中加入占位符来匹配客户端信息，例t/%c则在匹配时主题将会替换为当前客户端的 Client ID

o %u：用户名

o %c：Client ID

4）默认配置下示例数据：

-- 所有用户不可以订阅系统主题

INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (0, NULL, '$all', NULL, 1, '$SYS/#');

-- 允许 192.168.2.145 上的客户端订阅所有的主题

INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (1, '192.168.2.145', NULL, NULL, 1, '#');

-- 禁止客户端订阅 /smarthome/+/temperature 主题

INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (0, NULL, '$all', NULL, 1, '/smarthome/+/temperature');

-- 允许客户端订阅包含自身 Client ID 的 /smarthome/${clientid}/temperature 主题

INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (1, NULL, '$all', NULL, 1, '/smarthome/%c/temperature');

启用 MySQL ACL 后并以用户名 shen成功连接后，客户端应当数据具有相应的主题权限。

作者：胡志奎