Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autenticación y autorización LDAP para Amazon MQ para RabbitMQ
<a name="ldap-for-amq-for-rabbitmq"></a>

Amazon MQ para RabbitMQ admite la autenticación y la autorización de los usuarios de corredores mediante un servidor LDAP externo. Para ver otros métodos compatibles, consulte [Autenticación y autorización de Amazon MQ para corredores de RabbitMQ](rabbitmq-authentication.md).

**Consideraciones importantes**  
El servidor LDAP debe ser accesible a través de la Internet pública. Amazon MQ para RabbitMQ se puede configurar para autenticarse en el servidor LDAP mediante TLS mutuo.
Amazon MQ para RabbitMQ impone el uso de configuraciones de LDAP confidenciales, como contraseñas, y AWS ARNs para configuraciones que requieren acceso al sistema de archivos local. Consulte la [compatibilidad con ARN en la configuración de RabbitMQ](arn-support-rabbitmq-configuration.md) para obtener más detalles.
Debe incluir el permiso de IAM para habilitar LDAP en `mq:UpdateBrokerAccessConfiguration` los corredores existentes.
Amazon MQ crea automáticamente un usuario del sistema llamado `monitoring-AWS-OWNED-DO-NOT-DELETE` con permisos de solo supervisión. Este usuario utiliza el sistema de autenticación interno de RabbitMQ incluso en corredores con LDAP y está restringido únicamente al acceso a la interfaz de bucle invertido. Amazon MQ impide la eliminación de este usuario añadiendo la etiqueta de [usuario protegido](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3).

Para obtener información sobre cómo configurar LDAP para sus corredores de Amazon MQ para RabbitMQ, consulte. [Uso de la autenticación y la autorización de LDAP](rabbitmq-ldap-tutorial.md)

**Topics**
+ [Configuraciones LDAP compatibles](#ldap-supported-configs)
+ [Validaciones adicionales para configuraciones de LDAP en Amazon MQ](#ldap-additional-validations)

## Configuraciones LDAP compatibles
<a name="ldap-supported-configs"></a>

Amazon MQ para RabbitMQ admite todas las variables configurables del complemento [LDAP RabbitMQ](https://www.rabbitmq.com/docs/ldap), con las siguientes excepciones que son necesarias. AWS ARNs Para obtener más información sobre la compatibilidad con ARN, consulte Compatibilidad con [ARN](arn-support-rabbitmq-configuration.md) en la configuración de RabbitMQ.

### Configuraciones que requieren ARNs
<a name="ldap-arn-required-configs"></a>

`auth_ldap.dn_lookup_bind.password`  
En su lugar, use `aws.arns.auth_ldap.dn_lookup_bind.password`

`auth_ldap.other_bind.password`  
En su lugar, use `aws.arns.auth_ldap.other_bind.password`

`auth_ldap.ssl_options.cacertfile`  
En su lugar, use `aws.arns.auth_ldap.ssl_options.cacertfile`

`auth_ldap.ssl_options.certfile`  
En su lugar, use `aws.arns.auth_ldap.ssl_options.certfile`

`auth_ldap.ssl_options.keyfile`  
En su lugar, use `aws.arns.auth_ldap.ssl_options.keyfile`

### Opciones de SSL no compatibles
<a name="ldap-unsupported-ssl-options"></a>

Tampoco se admiten las siguientes opciones de configuración de SSL:

#### Ver la lista completa
<a name="ldap-ssl-options-list-content"></a>
+ `auth_ldap.ssl_options.cert`
+ `auth_ldap.ssl_options.client_renegotiation`
+ `auth_ldap.ssl_options.dh`
+ `auth_ldap.ssl_options.dhfile`
+ `auth_ldap.ssl_options.honor_cipher_order`
+ `auth_ldap.ssl_options.honor_ecc_order`
+ `auth_ldap.ssl_options.key.RSAPrivateKey`
+ `auth_ldap.ssl_options.key.DSAPrivateKey`
+ `auth_ldap.ssl_options.key.PrivateKeyInfo`
+ `auth_ldap.ssl_options.log_alert`
+ `auth_ldap.ssl_options.password`
+ `auth_ldap.ssl_options.psk_identity`
+ `auth_ldap.ssl_options.reuse_sessions`
+ `auth_ldap.ssl_options.secure_renegotiate`
+ `auth_ldap.ssl_options.versions.$version`
+ `auth_ldap.ssl_options.sni`

## Validaciones adicionales para configuraciones de LDAP en Amazon MQ
<a name="ldap-additional-validations"></a>

Amazon MQ también aplica las siguientes validaciones adicionales para la autenticación y la autorización de LDAP:
+ `auth_ldap.log`no se puede configurar en `network_unsafe`
+ El servidor LDAP debe usar LDAPS. `auth_ldap.use_ssl`O bien `auth_ldap.use_starttls` debe estar activado de forma explícita
+ Si alguna configuración requiere el uso de un AWS ARN, `aws.arns.assume_role_arn` debe proporcionarse.
+ `auth_ldap.servers`debe ser una dirección IP válida o un FQDN válido
+ Las siguientes claves deben ser un nombre distintivo LDAP válido:
  + `auth_ldap.dn_lookup_base`
  + `auth_ldap.dn_lookup_bind.user_dn`
  + `auth_ldap.other_bind.user_dn`
  + `auth_ldap.group_lookup_base`