Kong ManagerでRBACを有効にする

Available with Kong Gateway Enterprise subscription - Contact Sales

1. kong.confファイルの以下の構成設定を変更します。/etc/kong/kong.confファイルに移動します。

   cd /etc/kong/
   

2. フォールバックできる作業コピーがあることを確認するために、 kong.conf.defaultファイルをコピーします。

   cp kong.conf.default kong.conf
   

3. 次に、 kong.confで次の設定を編集します。

   echo >> “enforce_rbac = on” >> /etc/kong/kong.conf
   echo >> “admin_gui_auth = basic-auth” >> /etc/kong.conf
   echo >> “admin_gui_session_conf = {"secret":"secret","storage":"kong","cookie_secure":false}”
   

   これによりRBACがオンになり、Kong Gatewayにベーシック認証（ユーザー名/パスワード）を使用するよう指示し、セッションCookieの作成方法をSessionプラグインに指示します。

   クッキーは有効期限が切れるまで、ユーザーを認証するための後続のすべてのリクエストに使用されます。セッションの有効期間は限られており、構成可能な間隔で更新されるため、セッション終了後に攻撃者が古いクッキーを取得して使用することを防ぐことができます。

4. Kong Gatewayを再起動し、以下のように新しい設定ファイルを指定します。

   kong restart -c /etc/kong/kong.conf
   

Dockerがインストールされている場合は、次のコマンドを実行して必要な環境変数を設定し、ゲートウェイ構成を再読み込みします。

注： {KONG-CONTAINER-ID}をコンテナのIDに確実に置き換えてください。

echo "KONG_ENFORCE_RBAC=on
KONG_ADMIN_GUI_AUTH=basic-auth
KONG_ADMIN_GUI_SESSION_CONF='{\"secret\":\"secret\",\"storage\":\"kong\",\"cookie_secure\":false}'
kong reload exit" | docker exec -i {KONG_CONTAINER_ID} /bin/sh

これによりRBACがオンになり、Kong Gatewayにベーシック認証（ユーザー名/パスワード）を使用するよう指示し、セッションCookieの作成方法をSessionプラグインに指示します。

クッキーは有効期限が切れるまで、ユーザーを認証するための後続のすべてのリクエストに使用されます。セッションの有効期間は限られており、設定可能な間隔で更新されるため、セッション終了後に攻撃者が古いクッキーを取得して使用することを防ぐことができます。