Zum Inhalt springen

Konfiguration mit Kommandozeile

Zuletzt geändert von MACH ProForms GmbH am 03.07.2024

Die Kommandozeilenkonfiguration der RabbitMQ erfordert root-Berechtigungen. Daher wird davon ausgegangen, dass alle Befehle entweder als sudo oder als root-user ausgeführt werden.
Sollte ein Direktzugang als root-user nicht möglich sein, kann mittels

sudo su

ein sudo-Benutzer sich temporär als root-user anmelden.

Der guest Benutzer

Der Standardbenutzer guest der RabbitMQ hat prinzipiell Vollzugriff auf alles, benötigt aber eine Anmeldung von localhost. Da ein gewisses Sicherheitsrisiko darin besteht, einen Standardbenutzer zu verwenden, empfiehlt MACH ProForms den guest-Benutzer zu entfernen. Dies kann durch

rabbitmqctl delete_user guest

bewerkstelligt werden.

Benutzerkonfiguration

Wir empfehlen für die RabbitMQ einen Adminbenutzer anzulegen, der Vollzugriff auf alle Vhosts hat, so wie einen dedizierten Benutzer pro angelegtem Vhost. Ein Benutzer muss zuerst angelegt und danach konfiguriert werden.

Benutzer anlegen

Ein neuer Benutzer wird mit dem Befehl

rabbitmqctl add_user <BENUTZERNAME> <PASSWORT>

angelegt. Ein so angelegter Benutzer hat noch keine Rechte und ist daher noch nicht aktiv verwendbar.

Benutzer konfigurieren

Ein angelegter Benutzer muss konfiguriert werden, damit er Rechte erhält, oder diese wieder entfernt werden. Mit dem Befehl set_permissions können Berechtigungen vergeben werden. Die Befehlsstruktur dafür ist folgendermaßen:

rabbitmqctl set_permissions <USERNAME> <CONFIGURE> <WRITE> <READ> [-p <VHOST>]

Die Einträge <CONFIGURE>, <WRITE> und <READ> erwarten reguläre Ausdrücke. In der von MACH ProForms empfohlenen Konfiguration sollten diese jeweils auf ".*" gesetzt werden, da die Abgrenzung der Ressourcen vom Vhost abhängt. Sollten Sie doch mehrere Benutzer pro Vhost anlegen wollen, mit verschiedenen Berechtigungen, verweisen wir Sie auf die Anleitung zu diesem Thema.

Für den Parameter -p wird, sofern er nicht gesetzt ist, der default-vhost / angenommen.

Ein Adminbenutzer mit dem Benutzernamen admin auf dem vhost /vhost wird daher folgendermaßen konfiguriert:

rabbitmqctl set_permissions admin ".*" ".*" ".*" -p /vhost

Es ist notwendig, dass der Benutzer, mit dem sich der SecureConnector an einem Vhost anmelden soll, dort mindestens über Scheib- und Leseberechtigungen verfügt.

Wenn ein Benutzer auf das WebUI zugreifen können soll, dann benötigt dieser einen passenden Tag. MACH ProForms empfiehlt, dem empfohlenen Hauptadministrator den Tag administrator zuzuweisen, da dieser damit Vollzugriff auf WebUI erhält. Der Befehl um Tags zuzuweisen lautet

rabbitmqctl set_user_tags <username> <tag(s)>

Es werden alle bestehenden Tags mit dem/den neuen Tag/s überschrieben.

Vhost anlegen

Je betriebenem SecureConnector bzw. Fachverfahren sollte ein separater Vhost erstellt werden. Dies erlaubt eine schnelle und konfliktfreie Zuweisung der Nachrichten an die entsprechenden Fachverfahren.

Mit dem Befehl

rabbitmqctl add_vhost <VHOST>

kann ein neuer Vhost angelegt werden. Es wird empfohlen alle Vhost-namen mit einem / beginnen zu lassen. Der Vhost muss angelegt werden, bevor der SecureConnector für diesen Vhost in Betrieb genommen wird.