更新时间:2024-12-17 GMT+08:00
分享

云桥配置

云桥Agent作为一座“桥梁”,在企业内部服务和云上OneAccess之间建立了一条网络安全隧道,可以避免企业的内部服务直接暴露在公网上,从而有效的保护网络实体免受窃听和重复攻击等。

目前,云桥Agent支持AD身份源、AD及LDAP认证源,本节主要介绍AD和LDAP通过云桥Agent连接OneAccess的方法。

前提条件

请确保您已拥有部署云桥Agent的能力。

获取云桥软件部署包

云桥包下载地址是不带sha256后缀结尾的链接,带sha256后缀结尾的下载链接为对应软件包的校验文件。

云桥部署包更新日志

下表为云桥部署包更新日志。

版本号

更新内容

V24.5.1.1

升级JDK版本到17。

V23.12.1.1

优化了一些已知问题。

V23.6.1.0

支持使用更安全的安全随机数。

V23.2.1.0

支持LDAP认证源及启动日志优化。

V22.11.1.0

新增功能:增加签名校验及优化日志打印。

V22.6.1.0

新增功能:管理员通过管理门户查看云桥客户端运行日志的能力。

V22.3.1.0

针对AD身份源Agent功能进行优化。

V21.9.2.0

新增看门狗机制。

V21.9.1.0

  1. 云桥重连机制优化。
  2. 优化了一些已知问题。

校验云桥Agent软件包完整性

文中软件包版本号为示例,请以实际为准。

  1. 使用PuTTY/FTP等工具连接待部署服务器,以root用户登录待部署服务器,使用SFTP工具将云桥Agent软件包和对应的SHA256文件上传到待部署服务器,执行ll查看已上传的软件包和校验文件。

    [root@cluster-test-eq9ku xxx]# ll
    total 75724
    -rw-r--r-- 1 root root 32696037 Dec  1 16:12 cloudAgent-authSource-24.5.1.1.zip
    -rw-r--r-- 1 root root      101 Dec  1 16:11 cloudAgent-authSource-24.5.1.1.zip.sha256
    -rw-r--r-- 1 root root 44832098 Dec  1 16:12 cloudAgent-identitySource-24.5.1.1.zip
    -rw-r--r-- 1 root root      105 Dec  1 16:11 cloudAgent-identitySource-24.5.1.1.zip.sha256

  2. 执行以下命令校验网关软件包完整性,当回显信息显示OK,表明完整性校验成功。

    sha256sum -c cloudAgent-identitySource-24.5.1.1.zip.sha256

    [root@cluster-test-eq9ku xxx]#  sha256sum -c cloudAgent-identitySource-24.5.1.1.zip.sha256
    cloudAgent-identitySource-24.5.1.1.zip: OK

    sha256sum -c cloudAgent-authSource-24.5.1.1.zip.sha256

    [root@cluster-test-eq9ku xxx]# sha256sum -c cloudAgent-authSource-24.5.1.1.zip.sha256
    cloudAgent-authSource-24.5.1.1.zip: OK

    如果完整性校验不通过,则软件包可能在下载过程中损坏,请重新下载或联系华为工程师解决。

操作步骤

  1. 部署AD服务并创建域账号,建立企业自己的管理系统。具体可参考搭建AD服务器创建域账号
  2. 添加云桥Agent。

    1. 登录OneAccess管理门户。
    2. 在导航栏中,选择“设置 > 云桥配置 ”。
    3. 在云桥配置页面,单击“添加云桥Agent”,设置名称并选择云桥Agent类型,单击“确定”。至此,云桥Agent添加完成。云桥Agent类型支持认证源类型和身份源类型,请按需选择。

      • 云桥Agent添加完成后,系统会自动生成ClientID和ClientSecret,请妥善保管。
      • 如不慎忘记ClientSecret,单击目标Agent的“重置密钥”即可重新生成。重置后,原密钥将会失效,请谨慎操作。
      • 单击“配置IP”,配置云桥Agent所在服务器IP,不配置时不启用IP访问控制,只支持配置一个IP,不支持*号通配的IP格式(例如:10.10.10.*),仅允许该IP上搭建的云桥Agent连接。
      • 单击“查看日志”,可以查看连接日志。
      • 单击“删除”,可删除目标Agent,请谨慎删除。

  3. 部署云桥Agent,部署成功以后,在管理门户的云桥配置中查看云桥Agent状态,会显示“在线”状态。

    图1 查看云桥Agent状态

    以下分别介绍部署云桥Agent身份源、认证源的方法。

    • 服务器需要安装JDK17版本(云桥24.5.1.1之前的版本需要安装JRE1.8版本)。
      1. 请至官网下载源码JDK压缩包。
      2. 执行以下命令,提取JRE到指定目录,配置JRE环境变量。

        tar -zxvf jdk-17_linux-x64_bin.tar.gz -C /usr/local/

        chmod 755 /usr/local/jdk-17.0.12

        echo "export PATH" >> /etc/profile

        echo "export PATH=$PATH:/usr/local/jdk-17.0.12/bin" >> /etc/profile

        source /etc/profile

        java -version

    • 如需使用看门狗功能,服务器需要安装curl、netstat工具。
    • 建议使用非root用户运行云桥客户端。

      若已有非root用户,则无需再次创建。若想使用新的非root用户,则需要先以root用户执行以下命令进行创建:

      groupadd {用户组}

      useradd -d /home/用户名 -s /bin/bash -g 用户组 -m 用户名

      unzip -od {文件解压后的存放地址} cloudAgent.zip

      chown -R {用户名}:{用户组} {文件解压后的存放地址}

      chmod 700 -R {文件解压后的存放地址}

      su - {用户名}

    • 以CentOS Linux release 8.2.2004 部署云桥Agent身份源为例。
      1. 请按照实例所在区域,下载Agent身份源的部署包。
      2. 将其上传至目标服务器。
      3. 执行unzip -od {文件解压后的存放地址} cloudAgent.zip解压部署包。存放地址必须唯一,否则会导致安装出错。部署包的具体信息可参考表2
        表2 目录结构

        名称

        说明

        agent.sh

        开机自启动Agent的文件。

        cloudAgent-identitySource.jar

        Agent的部署包。

        cloudBridge.sh

        手动启动Agent的文件。

        config

        Agent配置文件(application.yml)的存放目录。

        connector

        LDAP连接器的部署包,暂不关注。

        encrypt.sh

        加密文件,用来加密AD主体账号的密码。

        log

        Agent日志(agent.log)的存放目录。

      4. 进入文件解压后的存放地址,配置“config”目录下的“application.yml”文件。每个属性值前面需要加1个空格。部分参数可参考在OneAccess中添加AD身份源中的配置参数。

        如需对agentSecret、credentials进行加密,请按照如下步骤进行操作:

        1. 生成根密钥和工作密钥,在云桥安装包解压目录下执行./encrypt.sh setKey命令,提示“please enter the encryption key:”,输入自定义密钥后回车,提示“the encryption key setting succeeds”,代表密钥设置成功。
        2. 执行./encrypt.sh encrypt命令,提示“please enter what you want to encrypt content:”,输入agentSecret的值后回车,即可获取加密后的credentials,如“{AES_GCM}0000xxxxxx111111”。
        3. 执行./encrypt.sh encrypt命令,提示“please enter what you want to encrypt content:”,输入credentials的值后回车,即可获取加密后的credentials,如“{AES_GCM}0000xxxxxx222222”。
        4. 将加密后的值拷贝至“application.yml”文件中对应位置即可,注意需要前后添加英文双引号。

        表3 配置参数

        参数

        说明

        * address

        云桥服务启动监听地址,默认127.0.0.1。

        * port

        云桥服务启动的监听端口,可修改,当启动多个云桥时,需要修改为不同的端口号,默认9081

        * serverAddress

        wss://{需要使用云桥Agent的租户域名}/api/v1/ws。

        * agentId

        添加Agent后,系统自动生成。请参考2

        * agentSecret

        添加Agent后,系统自动生成。请参考2

        * host

        运行企业AD服务器的主机 IP 地址。

        * port

        与企业AD服务器进行通信的TCP/IP 端口号。

        * ssl

        默认为true,表示连接AD server使用SSL,否则配置为false。

        * principal

        进行企业AD服务器验证时使用的标识名。

        * credentials

        principal的密码。

        * baseContexts

        要同步的账号所在AD中的树的根节点,如“OU=huaweitest,DC=test,DC=com”。

        如果执行./encrypt.sh setKey命令输入Key后无响应,则需要安装rng-tools工具提高系统熵池的补充速率。

        1. 执行以下命令进行安装rng-tools:

          yum install rng-tools

          cat /etc/sysconfig/rngd

          如果没有该文件,请执行以下命令新增该文件:

          echo "OPTIONS=\"-r /dev/urandom\"" > /etc/sysconfig/rngd

        2. 执行以下命令启动rng服务以及查询rng服务状态。

          service rngd start 启动rng服务

          service rngd status 查看rng服务状态

          状态为enabled表示启动。

      5. 配置完成后,执行./cloudBridge.sh start进行启动,提示“Starting Agent Success.”代表启动成功。
        • 请确保当前部署用户拥有部署安装包的相关权限。
        • 如提示“Starting Agent Fail. ”代表启动失败,请排查配置文件。
        • 如需开机自启动,请使用root用户执行./agent.sh install,安装过程中会对系统基础环境检查,保证满足服务安装要求。安装过程中会提示输入启动用户,如果为空则使用当前用户运行脚本。提示“The Agent service installed successfully, need to reboot will take effect.”代表安装成功。
        • 如需卸载Agent,执行./agent.sh uninstall,提示“uninstall Agent Success.”代表卸载成功。
        • 如果执行./cloudBridge.sh start无响应,参考上一章节执行./encrypt.sh setKey无响应进行安装rng-tools操作。
      6. 可以通过目录中的“log/agent.log”文件获取日志信息。
    • 以CentOS Linux release 8.0.1905部署云桥Agent认证源为例。
      1. 请按照实例所在区域,下载Agent认证源的部署包。

      2. 将其上传至目标服务器。
      3. 执行unzip -od {文件解压后的存放地址} cloudAgent.zip解压部署包。存放地址必须唯一,否则会导致安装出错。部署包的具体信息可参考表4
        表4 目录结构

        名称

        说明

        agent.sh

        开机自启动云桥Agent的文件。

        cloudAgent-authSource.jar

        Agent的部署包。

        cloudBridge.sh

        手动启动Agent的文件。

        config

        Agent配置文件(application.yml)的存放目录。

        log

        Agent日志(agent.log)的存放目录。

      4. 进入文件解压后的存放地址,配置“config”目录下的application.yml文件。每个属性值前面需要加1个空格

        表5 配置参数

        参数

        说明

        * address

        云桥服务启动监听地址,默认127.0.0.1。

        * port

        云桥服务启动的监听端口,可修改,当启动多个云桥时,需要修改为不同的端口号,默认9082

        * serverAddress

        wss://{需要使用云桥Agent的租户域名}/api/v1/ws。

        * agentId

        添加云桥Agent后,系统自动生成。请参考2

        * agentSecret

        添加云桥Agent后,系统自动生成。请参考2

        * urls

        AD地址。可参考在OneAccess中添加AD认证源中的配置参数。

        * rootDn

        AD中的节点,会到该节点下认证用户。可参考在OneAccess中添加AD认证源中的配置参数。

        * domain

        若租户域名包含AD域名,则该参数填写AD域名;若不包含,则为空。

        * searchFilter

        查询条件。可参考在OneAccess中添加AD认证源中的配置参数。

        * urls

        LDAP地址。可参考在OneAccess中添加LDAP认证源中的配置参数。

        sslCheck

        LDAPS ssl校验开关,未配置或配置为true时会校验ssl证书,若不需要校验ssl证书则可以配置值false。

        * baseDn

        用户的baseDN,可参考在OneAccess中添加LDAP认证源中的配置参数。

        managerDn

        管理员的标识名,默认cn=Directory Manager。

        managerPassword

        LDAP管理员账号标识。

        userSearchBase

        Ldap公共搜索路径。可参考在OneAccess中添加LDAP认证源中的配置参数。

        userSearchFilter

        LDAP中匹配系统用户的过滤条件,系统默认“(&(objectClass=user)(uid={0}))”,详细请参考LDAP过滤器。基于条件的查询优先级低于基于DN的查询。

        dnPatterns

        LDAP用户的搜索路径,系统默认“uid={0},ou=people”。用户DN模式查询优先。

        如需对agentSecret进行加密,可参考部署云桥Agent身份源中加密步骤3.d进行操作。

      5. 配置完成后,执行 ./cloudBridge.sh start进行启动,提示“Starting Agent Success.”代表启动成功。
        • 请确保当前部署用户拥有部署安装包的相关权限。
        • 如提示“Starting Agent Fail. ”代表启动失败,请排查配置文件。
        • 如需开机自启动,请使用root用户执行./agent.sh install,安装过程中会对系统基础环境检查,保证满足服务安装要求。安装过程中会提示输入启动用户,如果为空则使用当前用户运行脚本。提示“The Agent service installed successfully, need to reboot will take effect.”代表安装成功。
        • 如需卸载Agent,执行./agent.sh uninstall,提示“uninstall Agent Success.”代表卸载成功。
      6. 可以通过目录中的“log/agent.log”文件获取日志信息。

  4. 单击“查看日志”,默认进入“连接日志”页签,可查看云桥上/下线的时间点。

  5. 单击“服务日志”,可在当前页面实时查看云桥启动日志。

  6. 添加AD身份源、AD认证源和LDAP认证源。

    1. 添加AD身份源
      1. 登录OneAccess管理门户。
      2. 在导航栏中,选择“用户 > 身份源管理 ”。
      3. 在身份源管理页面,单击AD身份源操作列的“添加身份源”,输入“身份源名称”,单击“确定”。

      4. 在AD身份源列表页面,单击目标身份源的“详情”,设置导入配置,选择“通过云桥Agent连接”并勾选已添加的云桥Agent即可。可勾选的云桥Agent最多不超过5个。高级配置、对象模型等的配置请参考在OneAccess中添加AD身份源
        图2 AD身份源详情
        图3 设置导入配置

      5. 执行同步请参考验证OneAccess同步企业AD数据
    2. 添加AD认证源。
      1. 登录OneAccess管理门户。
      2. 在导航栏中,选择“认证 > 认证源管理 > AD”。
      3. 在AD认证源页面,单击右上方“添加认证源”,配置参数。
        图4 添加AD认证源
        表6 配置参数

        参数

        说明

        * 显示名称

        认证源的显示名称,支持自定义。如AD认证。

        * 连接方式

        选择通过云桥Agent连接。

        * 选择云桥Agent

        勾选2中已添加的云桥。最多可勾选5个云桥Agent。

        * 关联源属性

        AD用户的属性,如sAMAccountName。

        * 关联用户属性

        AD在系统中映射的用户唯一文本属性,如用户名。

        * 未关联用户时

        登录成功后,如未关联到系统用户,可以根据该配置操作。

        * 更新已存在属性

        AD登录时若关联到了用户,可以通过该选项来确定是否更新已存在的用户属性值。

        如果您需要同时映射其他属性,如name,可以设置“未关联用户时”为“自动创建用户”,通过“添加映射”完成。可参考表7

        表7 映射参数

        参数

        说明

        用户属性名

        AD对接OneAccess的映射属性,可在下拉框选择,如邮箱。

        映射类型

        OneAccess与AD之间用户属性的映射方式,可在下拉框选择,如认证源属性。

        认证源属性名

        AD用户的属性名称。

      4. 可输入“测试账号”和“测试密码”,单击“测试”进行验证连通性。

        如果图4,选择云桥Agent勾选了多个,最多不超过5个,单击“测试”后,系统会逐一进行连通性验证。如果验证失败,会进行提示。

      5. 开启AD认证。具体可参考在OneAccess中开启AD认证
      6. 验证AD认证登录。具体可参考验证AD认证登录OneAccess用户门户
    3. 添加LDAP认证源。
      1. 登录OneAccess管理门户。
      2. 在导航栏中,选择“认证 > 认证源管理 > LDAP”。
      3. 在LDAP认证源页面,单击右上方“添加认证源”,配置参数。
        表8 配置参数

        参数

        说明

        * 显示名称

        认证源的显示名称,支持自定义。如LDAP认证。

        * 连接方式

        选择通过云桥Agent连接。

        * 选择云桥Agent

        勾选2中已添加的云桥。最多可勾选5个云桥Agent。

        * 关联源属性

        LDAP用户的属性,如sAMAccountName。

        * 关联用户属性

        LDAP在系统中映射的用户唯一文本属性,如用户名。

        * 未关联用户时

        登录成功后,如未关联到系统用户,可以根据该配置操作。

        * 更新已存在属性

        LDAP登录时若关联到了用户,可以通过该选项来确定是否更新已存在的用户属性值。

        如果您需要同时映射其他属性,如name,可以设置“未关联用户时”为“自动创建用户”,通过“添加映射”完成。可参考表9

        表9 映射参数

        参数

        说明

        用户属性名

        LDAP对接OneAccess的映射属性,可在下拉框选择,如邮箱。

        映射类型

        OneAccess与LDAP之间用户属性的映射方式,可在下拉框选择,如认证源属性。

        认证源属性名

        LDAP用户的属性名称。

      4. 可输入“测试账号”和“测试密码”,单击“测试”进行验证连通性。

        如果6.c.iii,选择云桥Agent勾选了多个,最多不超过5个,单击“测试”后,系统会逐一进行连通性验证。如果验证失败,会进行提示。

      5. 开启LDAP认证。具体可参考在OneAccess中开启LDAP认证
      6. 验证LDAP认证登录。具体可参考验证LDAP认证登录OneAccess用户门户

相关文档