云桥配置
云桥Agent作为一座“桥梁”,在企业内部服务和云上OneAccess之间建立了一条网络安全隧道,可以避免企业的内部服务直接暴露在公网上,从而有效的保护网络实体免受窃听和重复攻击等。
目前,云桥Agent支持AD身份源、AD及LDAP认证源,本节主要介绍AD和LDAP通过云桥Agent连接OneAccess的方法。
前提条件
请确保您已拥有部署云桥Agent的能力。
获取云桥软件部署包
云桥包下载地址是不带sha256后缀结尾的链接,带sha256后缀结尾的下载链接为对应软件包的校验文件。
云桥部署包更新日志
下表为云桥部署包更新日志。
版本号 |
更新内容 |
---|---|
V24.5.1.1 |
升级JDK版本到17。 |
V23.12.1.1 |
优化了一些已知问题。 |
V23.6.1.0 |
支持使用更安全的安全随机数。 |
V23.2.1.0 |
支持LDAP认证源及启动日志优化。 |
V22.11.1.0 |
新增功能:增加签名校验及优化日志打印。 |
V22.6.1.0 |
新增功能:管理员通过管理门户查看云桥客户端运行日志的能力。 |
V22.3.1.0 |
针对AD身份源Agent功能进行优化。 |
V21.9.2.0 |
新增看门狗机制。 |
V21.9.1.0 |
|
校验云桥Agent软件包完整性
文中软件包版本号为示例,请以实际为准。
- 使用PuTTY/FTP等工具连接待部署服务器,以root用户登录待部署服务器,使用SFTP工具将云桥Agent软件包和对应的SHA256文件上传到待部署服务器,执行ll查看已上传的软件包和校验文件。
[root@cluster-test-eq9ku xxx]# ll total 75724 -rw-r--r-- 1 root root 32696037 Dec 1 16:12 cloudAgent-authSource-24.5.1.1.zip -rw-r--r-- 1 root root 101 Dec 1 16:11 cloudAgent-authSource-24.5.1.1.zip.sha256 -rw-r--r-- 1 root root 44832098 Dec 1 16:12 cloudAgent-identitySource-24.5.1.1.zip -rw-r--r-- 1 root root 105 Dec 1 16:11 cloudAgent-identitySource-24.5.1.1.zip.sha256
- 执行以下命令校验网关软件包完整性,当回显信息显示OK,表明完整性校验成功。
sha256sum -c cloudAgent-identitySource-24.5.1.1.zip.sha256
[root@cluster-test-eq9ku xxx]# sha256sum -c cloudAgent-identitySource-24.5.1.1.zip.sha256 cloudAgent-identitySource-24.5.1.1.zip: OK
sha256sum -c cloudAgent-authSource-24.5.1.1.zip.sha256
[root@cluster-test-eq9ku xxx]# sha256sum -c cloudAgent-authSource-24.5.1.1.zip.sha256 cloudAgent-authSource-24.5.1.1.zip: OK
如果完整性校验不通过,则软件包可能在下载过程中损坏,请重新下载或联系华为工程师解决。
操作步骤
- 部署AD服务并创建域账号,建立企业自己的管理系统。具体可参考搭建AD服务器和创建域账号。
- 添加云桥Agent。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 云桥配置 ”。
- 在云桥配置页面,单击“添加云桥Agent”,设置名称并选择云桥Agent类型,单击“确定”。至此,云桥Agent添加完成。云桥Agent类型支持认证源类型和身份源类型,请按需选择。
- 云桥Agent添加完成后,系统会自动生成ClientID和ClientSecret,请妥善保管。
- 如不慎忘记ClientSecret,单击目标Agent的“重置密钥”即可重新生成。重置后,原密钥将会失效,请谨慎操作。
- 单击“配置IP”,配置云桥Agent所在服务器IP,不配置时不启用IP访问控制,只支持配置一个IP,不支持*号通配的IP格式(例如:10.10.10.*),仅允许该IP上搭建的云桥Agent连接。
- 单击“查看日志”,可以查看连接日志。
- 单击“删除”,可删除目标Agent,请谨慎删除。
- 部署云桥Agent,部署成功以后,在管理门户的云桥配置中查看云桥Agent状态,会显示“在线”状态。
图1 查看云桥Agent状态
以下分别介绍部署云桥Agent身份源、认证源的方法。
- 服务器需要安装JDK17版本(云桥24.5.1.1之前的版本需要安装JRE1.8版本)。
- 如需使用看门狗功能,服务器需要安装curl、netstat工具。
- 建议使用非root用户运行云桥客户端。
若已有非root用户,则无需再次创建。若想使用新的非root用户,则需要先以root用户执行以下命令进行创建:
groupadd {用户组}
useradd -d /home/用户名 -s /bin/bash -g 用户组 -m 用户名
unzip -od {文件解压后的存放地址} cloudAgent.zip
chown -R {用户名}:{用户组} {文件解压后的存放地址}
chmod 700 -R {文件解压后的存放地址}
su - {用户名}
- 以CentOS Linux release 8.2.2004 部署云桥Agent身份源为例。
- 请按照实例所在区域,下载Agent身份源的部署包。
- 将其上传至目标服务器。
- 执行unzip -od {文件解压后的存放地址} cloudAgent.zip解压部署包。存放地址必须唯一,否则会导致安装出错。部署包的具体信息可参考表2。
- 进入文件解压后的存放地址,配置“config”目录下的“application.yml”文件。每个属性值前面需要加1个空格。部分参数可参考在OneAccess中添加AD身份源中的配置参数。
如需对agentSecret、credentials进行加密,请按照如下步骤进行操作:
- 生成根密钥和工作密钥,在云桥安装包解压目录下执行./encrypt.sh setKey命令,提示“please enter the encryption key:”,输入自定义密钥后回车,提示“the encryption key setting succeeds”,代表密钥设置成功。
- 执行./encrypt.sh encrypt命令,提示“please enter what you want to encrypt content:”,输入agentSecret的值后回车,即可获取加密后的credentials,如“{AES_GCM}0000xxxxxx111111”。
- 执行./encrypt.sh encrypt命令,提示“please enter what you want to encrypt content:”,输入credentials的值后回车,即可获取加密后的credentials,如“{AES_GCM}0000xxxxxx222222”。
- 将加密后的值拷贝至“application.yml”文件中对应位置即可,注意需要前后添加英文双引号。
表3 配置参数 参数
说明
* address
云桥服务启动监听地址,默认127.0.0.1。
* port
云桥服务启动的监听端口,可修改,当启动多个云桥时,需要修改为不同的端口号,默认9081
* serverAddress
wss://{需要使用云桥Agent的租户域名}/api/v1/ws。
* agentId
添加Agent后,系统自动生成。请参考2。
* agentSecret
添加Agent后,系统自动生成。请参考2。
* host
运行企业AD服务器的主机 IP 地址。
* port
与企业AD服务器进行通信的TCP/IP 端口号。
* ssl
默认为true,表示连接AD server使用SSL,否则配置为false。
* principal
进行企业AD服务器验证时使用的标识名。
* credentials
principal的密码。
* baseContexts
要同步的账号所在AD中的树的根节点,如“OU=huaweitest,DC=test,DC=com”。
如果执行./encrypt.sh setKey命令输入Key后无响应,则需要安装rng-tools工具提高系统熵池的补充速率。
- 配置完成后,执行./cloudBridge.sh start进行启动,提示“Starting Agent Success.”代表启动成功。
- 请确保当前部署用户拥有部署安装包的相关权限。
- 如提示“Starting Agent Fail. ”代表启动失败,请排查配置文件。
- 如需开机自启动,请使用root用户执行./agent.sh install,安装过程中会对系统基础环境检查,保证满足服务安装要求。安装过程中会提示输入启动用户,如果为空则使用当前用户运行脚本。提示“The Agent service installed successfully, need to reboot will take effect.”代表安装成功。
- 如需卸载Agent,执行./agent.sh uninstall,提示“uninstall Agent Success.”代表卸载成功。
- 如果执行./cloudBridge.sh start无响应,参考上一章节执行./encrypt.sh setKey无响应进行安装rng-tools操作。
- 可以通过目录中的“log/agent.log”文件获取日志信息。
- 以CentOS Linux release 8.0.1905部署云桥Agent认证源为例。
- 请按照实例所在区域,下载Agent认证源的部署包。
- 将其上传至目标服务器。
- 执行unzip -od {文件解压后的存放地址} cloudAgent.zip解压部署包。存放地址必须唯一,否则会导致安装出错。部署包的具体信息可参考表4。
- 进入文件解压后的存放地址,配置“config”目录下的application.yml文件。每个属性值前面需要加1个空格。
表5 配置参数 参数
说明
* address
云桥服务启动监听地址,默认127.0.0.1。
* port
云桥服务启动的监听端口,可修改,当启动多个云桥时,需要修改为不同的端口号,默认9082
* serverAddress
wss://{需要使用云桥Agent的租户域名}/api/v1/ws。
* agentId
添加云桥Agent后,系统自动生成。请参考2。
* agentSecret
添加云桥Agent后,系统自动生成。请参考2。
* urls
AD地址。可参考在OneAccess中添加AD认证源中的配置参数。
* rootDn
AD中的节点,会到该节点下认证用户。可参考在OneAccess中添加AD认证源中的配置参数。
* domain
若租户域名包含AD域名,则该参数填写AD域名;若不包含,则为空。
* searchFilter
查询条件。可参考在OneAccess中添加AD认证源中的配置参数。
* urls
LDAP地址。可参考在OneAccess中添加LDAP认证源中的配置参数。
sslCheck
LDAPS ssl校验开关,未配置或配置为true时会校验ssl证书,若不需要校验ssl证书则可以配置值false。
* baseDn
用户的baseDN,可参考在OneAccess中添加LDAP认证源中的配置参数。
managerDn
管理员的标识名,默认cn=Directory Manager。
managerPassword
LDAP管理员账号标识。
userSearchBase
Ldap公共搜索路径。可参考在OneAccess中添加LDAP认证源中的配置参数。
userSearchFilter
LDAP中匹配系统用户的过滤条件,系统默认“(&(objectClass=user)(uid={0}))”,详细请参考LDAP过滤器。基于条件的查询优先级低于基于DN的查询。
dnPatterns
LDAP用户的搜索路径,系统默认“uid={0},ou=people”。用户DN模式查询优先。
如需对agentSecret进行加密,可参考部署云桥Agent身份源中加密步骤3.d进行操作。
- 配置完成后,执行 ./cloudBridge.sh start进行启动,提示“Starting Agent Success.”代表启动成功。
- 请确保当前部署用户拥有部署安装包的相关权限。
- 如提示“Starting Agent Fail. ”代表启动失败,请排查配置文件。
- 如需开机自启动,请使用root用户执行./agent.sh install,安装过程中会对系统基础环境检查,保证满足服务安装要求。安装过程中会提示输入启动用户,如果为空则使用当前用户运行脚本。提示“The Agent service installed successfully, need to reboot will take effect.”代表安装成功。
- 如需卸载Agent,执行./agent.sh uninstall,提示“uninstall Agent Success.”代表卸载成功。
- 可以通过目录中的“log/agent.log”文件获取日志信息。
- 单击“查看日志”,默认进入“连接日志”页签,可查看云桥上/下线的时间点。
- 单击“服务日志”,可在当前页面实时查看云桥启动日志。
- 添加AD身份源、AD认证源和LDAP认证源。
- 添加AD身份源
- 登录OneAccess管理门户。
- 在导航栏中,选择“用户 > 身份源管理 ”。
- 在身份源管理页面,单击AD身份源操作列的“添加身份源”,输入“身份源名称”,单击“确定”。
- 在AD身份源列表页面,单击目标身份源的“详情”,设置导入配置,选择“通过云桥Agent连接”并勾选已添加的云桥Agent即可。可勾选的云桥Agent最多不超过5个。高级配置、对象模型等的配置请参考在OneAccess中添加AD身份源。
图2 AD身份源详情
图3 设置导入配置
- 执行同步请参考验证OneAccess同步企业AD数据。
- 添加AD认证源。
- 登录OneAccess管理门户。
- 在导航栏中,选择“认证 > 认证源管理 > AD”。
- 在AD认证源页面,单击右上方“添加认证源”,配置参数。
表6 配置参数 参数
说明
* 显示名称
认证源的显示名称,支持自定义。如AD认证。
* 连接方式
选择通过云桥Agent连接。
* 选择云桥Agent
勾选2中已添加的云桥。最多可勾选5个云桥Agent。
* 关联源属性
AD用户的属性,如sAMAccountName。
* 关联用户属性
AD在系统中映射的用户唯一文本属性,如用户名。
* 未关联用户时
登录成功后,如未关联到系统用户,可以根据该配置操作。
* 更新已存在属性
AD登录时若关联到了用户,可以通过该选项来确定是否更新已存在的用户属性值。
如果您需要同时映射其他属性,如name,可以设置“未关联用户时”为“自动创建用户”,通过“添加映射”完成。可参考表7。
- 可输入“测试账号”和“测试密码”,单击“测试”进行验证连通性。
如果图4中,选择云桥Agent勾选了多个,最多不超过5个,单击“测试”后,系统会逐一进行连通性验证。如果验证失败,会进行提示。
- 开启AD认证。具体可参考在OneAccess中开启AD认证。
- 验证AD认证登录。具体可参考验证AD认证登录OneAccess用户门户。
- 添加LDAP认证源。
- 登录OneAccess管理门户。
- 在导航栏中,选择“认证 > 认证源管理 > LDAP”。
- 在LDAP认证源页面,单击右上方“添加认证源”,配置参数。
表8 配置参数 参数
说明
* 显示名称
认证源的显示名称,支持自定义。如LDAP认证。
* 连接方式
选择通过云桥Agent连接。
* 选择云桥Agent
勾选2中已添加的云桥。最多可勾选5个云桥Agent。
* 关联源属性
LDAP用户的属性,如sAMAccountName。
* 关联用户属性
LDAP在系统中映射的用户唯一文本属性,如用户名。
* 未关联用户时
登录成功后,如未关联到系统用户,可以根据该配置操作。
* 更新已存在属性
LDAP登录时若关联到了用户,可以通过该选项来确定是否更新已存在的用户属性值。
如果您需要同时映射其他属性,如name,可以设置“未关联用户时”为“自动创建用户”,通过“添加映射”完成。可参考表9。
- 可输入“测试账号”和“测试密码”,单击“测试”进行验证连通性。
如果6.c.iii中,选择云桥Agent勾选了多个,最多不超过5个,单击“测试”后,系统会逐一进行连通性验证。如果验证失败,会进行提示。
- 开启LDAP认证。具体可参考在OneAccess中开启LDAP认证。
- 验证LDAP认证登录。具体可参考验证LDAP认证登录OneAccess用户门户。
- 添加AD身份源