云桥配置

前提条件

请确保您已拥有部署云桥Agent的能力。

获取云桥软件部署包

云桥包下载地址是不带sha256后缀结尾的链接，带sha256后缀结尾的下载链接为对应软件包的校验文件。

云桥部署包更新日志

下表为云桥部署包更新日志。

校验云桥Agent软件包完整性

文中软件包版本号为示例，请以实际为准。

1. 使用PuTTY/FTP等工具连接待部署服务器，以root用户登录待部署服务器，使用SFTP工具将云桥Agent软件包和对应的SHA256文件上传到待部署服务器，执行ll查看已上传的软件包和校验文件。

   [root@cluster-test-eq9ku xxx]# ll
   total 75724
   -rw-r--r-- 1 root root 32696037 Dec  1 16:12 cloudAgent-authSource-23.12.1.1.zip
   -rw-r--r-- 1 root root      101 Dec  1 16:11 cloudAgent-authSource-23.12.1.1.zip.sha256
   -rw-r--r-- 1 root root 44832098 Dec  1 16:12 cloudAgent-identitySource-23.12.1.1.zip
   -rw-r--r-- 1 root root      105 Dec  1 16:11 cloudAgent-identitySource-23.12.1.1.zip.sha256

2. 执行以下命令校验网关软件包完整性，当回显信息显示OK，表明完整性校验成功。

   sha256sum -c cloudAgent-identitySource-23.12.1.1.zip.sha256

   [root@cluster-test-eq9ku xxx]#  sha256sum -c cloudAgent-identitySource-23.12.1.1.zip.sha256
   cloudAgent-identitySource-23.12.1.1.zip: OK

   sha256sum -c cloudAgent-authSource-23.12.1.1.zip.sha256

   [root@cluster-test-eq9ku xxx]# sha256sum -c cloudAgent-authSource-23.12.1.1.zip.sha256
   cloudAgent-authSource-23.12.1.1.zip: OK

   

   如果完整性校验不通过，则软件包可能在下载过程中损坏，请重新下载或联系华为工程师解决。

操作步骤

1. 部署AD服务并创建域帐号，建立企业自己的管理系统。具体可参考搭建AD服务器和创建域帐号。
2. 添加云桥Agent。
   1. 登录OneAccess管理门户。
   2. 在导航栏中，选择“设置 > 云桥配置 ”。
   3. 在云桥配置页面，单击“添加云桥Agent”，设置名称并选择云桥Agent类型，单击“确定”。至此，云桥Agent添加完成。云桥Agent类型支持认证源类型和身份源类型，请按需选择。

      

      

      • 云桥Agent添加完成后，系统会自动生成ClientID和ClientSecret，请妥善保管。
      • 如不慎忘记ClientSecret，单击目标Agent的“重置密钥”即可重新生成。重置后，原密钥将会失效，请谨慎操作。
      • 单击“配置IP”，配置云桥Agent所在服务器IP，不配置时不启用IP访问控制，只支持配置一个IP，不支持*号通配的IP格式（例如：10.10.10.*），仅允许该IP上搭建的云桥Agent连接。
      • 单击“查看日志”，可以查看连接日志。
      • 单击“删除”，可删除目标Agent，请谨慎删除。

3. 部署云桥Agent，部署成功以后，在管理门户的云桥配置中查看云桥Agent状态，会显示“在线”状态。
   图1 查看云桥Agent状态
   

   以下分别介绍部署云桥Agent身份源、认证源的方法。

   

   • 服务器需要安装JRE1.8及以上版本。
     1. 请至官网下载源码JRE压缩包。
     2. 执行以下命令，提取JRE到指定目录，配置JRE环境变量。

        tar -zxvf OpenJDK8U-jre_x64_linux_hotspot_8u352b08.tar.gz -C /usr/local/

        chmod 755 /usr/local/jdk8u352-b08-jre -Rf

        echo "export PATH" >> /etc/profile

        echo "export PATH=$PATH:/usr/local/jdk8u352-b08-jre/bin" >> /etc/profile

        source /etc/profile

        java -version

   • 如需使用看门狗功能，服务器需要安装curl、netstat工具。
   • 建议使用非root用户运行云桥客户端。

     若已有非root用户，则无需再次创建。若想使用新的非root用户，则需要先以root用户执行以下命令进行创建：

     groupadd {用户组}

     useradd -d /home/用户名 -s /bin/bash -g 用户组 -m 用户名

     unzip -od {文件解压后的存放地址} cloudAgent.zip

     chown -R {用户名}:{用户组} {文件解压后的存放地址}

     chmod 700 -R {文件解压后的存放地址}

     su - {用户名}

   • 以CentOS Linux release 8.2.2004 部署云桥Agent身份源为例。
     1. 请按照实例所在区域，下载Agent身份源的部署包。
     2. 将其上传至目标服务器。
     3. 执行unzip -od {文件解压后的存放地址} cloudAgent.zip解压部署包。存放地址必须唯一，否则会导致安装出错。部署包的具体信息可参考表2。

        表2 目录结构

        名称	说明
        agent.sh	开机自启动Agent的文件。
        cloudAgent-identitySource.jar	Agent的部署包。
        cloudBridge.sh	手动启动Agent的文件。
        config	Agent配置文件（application.yml）的存放目录。
        connector	LDAP连接器的部署包，暂不关注。
        encrypt.sh	加密文件，用来加密AD主体帐号的密码。
        log	Agent日志（agent.log）的存放目录。

     4. 进入文件解压后的存放地址，配置“config”目录下的“application.yml”文件。每个属性值前面需要加1个空格。部分参数可参考在OneAccess中添加AD身份源中的配置参数。

        如需对agentSecret、credentials进行加密，请按照如下步骤进行操作：

        1. 生成根密钥和工作密钥，在云桥安装包解压目录下执行./encrypt.sh setKey命令，提示“please enter the encryption key：”，输入自定义密钥后回车，提示“the encryption key setting succeeds”，代表密钥设置成功。
        2. 执行./encrypt.sh encrypt命令，提示“please enter what you want to encrypt content：”，输入agentSecret的值后回车，即可获取加密后的credentials，如“{AES_GCM}0000xxxxxx111111”。
        3. 执行./encrypt.sh encrypt命令，提示“please enter what you want to encrypt content：”，输入credentials的值后回车，即可获取加密后的credentials，如“{AES_GCM}0000xxxxxx222222”。
        4. 将加密后的值拷贝至“application.yml”文件中对应位置即可，注意需要前后添加英文双引号。

        

        表3 配置参数

        参数	说明
        * address	云桥服务启动监听地址，默认127.0.0.1。
        * port	云桥服务启动的监听端口，可修改，当启动多个云桥时，需要修改为不同的端口号，默认9081
        * serverAddress	wss://{需要使用云桥Agent的租户域名}/api/v1/ws。
        * agentId	添加Agent后，系统自动生成。请参考2。
        * agentSecret	添加Agent后，系统自动生成。请参考2。
        * host	运行企业AD服务器的主机 IP 地址。
        * port	与企业AD服务器进行通信的TCP/IP 端口号。
        * ssl	默认为true，表示连接AD server使用SSL，否则配置为false。
        * principal	进行企业AD服务器验证时使用的标识名。
        * credentials	principal的密码。
        * baseContexts	要同步的帐号所在AD中的树的根节点，如“OU=huaweitest,DC=test,DC=com”。

        

        如果执行./encrypt.sh setKey命令输入Key后无响应，则需要安装rng-tools工具提高系统熵池的补充速率。

        1. 执行以下命令进行安装rng-tools：

           yum install rng-tools

           cat /etc/sysconfig/rngd

           如果没有该文件，请执行以下命令新增该文件：

           echo "OPTIONS=\"-r /dev/urandom\"" > /etc/sysconfig/rngd

        2. 执行以下命令启动rng服务以及查询rng服务状态。

           service rngd start 启动rng服务

           service rngd status 查看rng服务状态

           状态为enabled表示启动。

           

     5. 配置完成后，执行./cloudBridge.sh start进行启动，提示“Starting Agent Success.”代表启动成功。
        

        • 请确保当前部署用户拥有部署安装包的相关权限。
        • 如提示“Starting Agent Fail. ”代表启动失败，请排查配置文件。
        • 如需开机自启动，请使用root用户执行./agent.sh install，安装过程中会对系统基础环境检查，保证满足服务安装要求。安装过程中会提示输入启动用户，如果为空则使用当前用户运行脚本。提示“The Agent service installed successfully, need to reboot will take effect.”代表安装成功。
        • 如需卸载Agent，执行./agent.sh uninstall，提示“uninstall Agent Success.”代表卸载成功。
     6. 可以通过目录中的“log/agent.log”文件获取日志信息。
   • 以CentOS Linux release 8.0.1905部署云桥Agent认证源为例。
     1. 请按照实例所在区域，下载Agent认证源的部署包。

        

     2. 将其上传至目标服务器。
     3. 执行unzip -od {文件解压后的存放地址} cloudAgent.zip解压部署包。存放地址必须唯一，否则会导致安装出错。部署包的具体信息可参考表4。

        表4 目录结构

        名称	说明
        agent.sh	开机自启动云桥Agent的文件。
        cloudAgent-authSource.jar	Agent的部署包。
        cloudBridge.sh	手动启动Agent的文件。
        config	Agent配置文件（application.yml）的存放目录。
        log	Agent日志（agent.log）的存放目录。

     4. 进入文件解压后的存放地址，配置“config”目录下的application.yml文件。每个属性值前面需要加1个空格。

        

        表5 配置参数

        参数	说明
        * address	云桥服务启动监听地址，默认127.0.0.1。
        * port	云桥服务启动的监听端口，可修改，当启动多个云桥时，需要修改为不同的端口号，默认9082
        * serverAddress	wss://{需要使用云桥Agent的租户域名}/api/v1/ws。
        * agentId	添加云桥Agent后，系统自动生成。请参考2。
        * agentSecret	添加云桥Agent后，系统自动生成。请参考2。
        * urls	AD地址。可参考在OneAccess中添加AD认证源中的配置参数。
        * rootDn	AD中的节点，会到该节点下认证用户。可参考在OneAccess中添加AD认证源中的配置参数。
        * domain	若租户域名包含AD域名，则该参数填写AD域名；若不包含，则为空。
        * searchFilter	查询条件。可参考在OneAccess中添加AD认证源中的配置参数。
        * urls	LDAP地址。可参考在OneAccess中添加LDAP认证源中的配置参数。
        sslCheck	LDAPS ssl校验开关，未配置或配置为true时会校验ssl证书，若不需要校验ssl证书则可以配置值false。
        * baseDn	用户的baseDN，可参考在OneAccess中添加LDAP认证源中的配置参数。
        managerDn	管理员的标识名，默认cn=Directory Manager。
        managerPassword	LDAP管理员帐号标识。
        userSearchBase	Ldap公共搜索路径。可参考在OneAccess中添加LDAP认证源中的配置参数。
        userSearchFilter	LDAP中匹配系统用户的过滤条件，系统默认“(&(objectClass=user)(uid={0}))”，详细请参考LDAP过滤器。基于条件的查询优先级低于基于DN的查询。
        dnPatterns	LDAP用户的搜索路径，系统默认“uid={0},ou=people”。用户DN模式查询优先。

        

        如需对agentSecret进行加密，可参考部署云桥Agent身份源中加密步骤3.d进行操作。

     5. 配置完成后，执行 ./cloudBridge.sh start进行启动，提示“Starting Agent Success.”代表启动成功。
        

        • 请确保当前部署用户拥有部署安装包的相关权限。
        • 如提示“Starting Agent Fail. ”代表启动失败，请排查配置文件。
        • 如需开机自启动，请使用root用户执行./agent.sh install，安装过程中会对系统基础环境检查，保证满足服务安装要求。安装过程中会提示输入启动用户，如果为空则使用当前用户运行脚本。提示“The Agent service installed successfully, need to reboot will take effect.”代表安装成功。
        • 如需卸载Agent，执行./agent.sh uninstall，提示“uninstall Agent Success.”代表卸载成功。
     6. 可以通过目录中的“log/agent.log”文件获取日志信息。

4. 单击“查看日志”，默认进入“连接日志”页签，可查看云桥上/下线的时间点。

   

5. 单击“服务日志”，可在当前页面实时查看云桥启动日志。

   

6. 添加AD身份源、AD认证源和LDAP认证源。
   • 添加AD身份源
     1. 登录OneAccess管理门户。
     2. 在导航栏中，选择“用户 > 身份源管理 ”。
     3. 在身份源管理页面，单击AD身份源操作列的“添加身份源”，输入“身份源名称”，单击“确定”。

        

     4. 在AD身份源列表页面，单击目标身份源的“详情”，设置导入配置，选择“通过云桥Agent连接”并勾选已添加的云桥Agent即可。可勾选的云桥Agent最多不超过5个。高级配置、对象模型等的配置请参考在OneAccess中添加AD身份源。
        图2 AD身份源详情
        
        图3 设置导入配置
        
     5. 执行同步请参考验证OneAccess同步企业AD数据。
   • 添加AD认证源
     1. 登录OneAccess管理门户。
     2. 在导航栏中，选择“认证 > 认证源管理 > AD”。
     3. 在AD认证源页面，单击右上方“添加认证源”，配置参数。
        图4 添加AD认证源
        

        表6 配置参数

        参数	说明
        * 显示名称	认证源的显示名称，支持自定义。如AD认证。
        * 连接方式	选择通过云桥Agent连接。
        * 选择云桥Agent	勾选2中已添加的云桥。最多可勾选5个云桥Agent。
        * 关联源属性	AD用户的属性，如sAMAccountName。
        * 关联用户属性	AD在系统中映射的用户唯一文本属性，如用户名。
        * 未关联用户时	登录成功后，如未关联到系统用户，可以根据该配置操作。
        * 更新已存在属性	AD登录时若关联到了用户，可以通过该选项来确定是否更新已存在的用户属性值。

        如果您需要同时映射其他属性，如name，可以设置“未关联用户时”为“自动创建用户”，通过“添加映射”完成。可参考表7。

        表7 映射参数

        参数	说明
        用户属性名	AD对接OneAccess的映射属性，可在下拉框选择，如邮箱。
        映射类型	OneAccess与AD之间用户属性的映射方式，可在下拉框选择，如认证源属性。
        认证源属性名	AD用户的属性名称。

     4. 可输入“测试帐号”和“测试密码”，单击“测试”进行验证连通性。

        

        如果图4中，选择云桥Agent勾选了多个，最多不超过5个，单击“测试”后，系统会逐一进行连通性验证。如果验证失败，会进行提示。

        

     5. 开启AD认证。具体可参考在OneAccess中开启AD认证。
     6. 验证AD认证登录。具体可参考验证AD认证登录OneAccess用户门户。
   • 添加LDAP认证源
     1. 登录OneAccess管理门户。
     2. 在导航栏中，选择“认证 > 认证源管理 > LDAP”。
     3. 在LDAP认证源页面，单击右上方“添加认证源”，配置参数。

        表8 配置参数

        参数	说明
        * 显示名称	认证源的显示名称，支持自定义。如LDAP认证。
        * 连接方式	选择通过云桥Agent连接。
        * 选择云桥Agent	勾选2中已添加的云桥。最多可勾选5个云桥Agent。
        * 关联源属性	LDAP用户的属性，如sAMAccountName。
        * 关联用户属性	LDAP在系统中映射的用户唯一文本属性，如用户名。
        * 未关联用户时	登录成功后，如未关联到系统用户，可以根据该配置操作。
        * 更新已存在属性	LDAP登录时若关联到了用户，可以通过该选项来确定是否更新已存在的用户属性值。

        如果您需要同时映射其他属性，如name，可以设置“未关联用户时”为“自动创建用户”，通过“添加映射”完成。可参考表9。

        表9 映射参数

        参数	说明
        用户属性名	LDAP对接OneAccess的映射属性，可在下拉框选择，如邮箱。
        映射类型	OneAccess与LDAP之间用户属性的映射方式，可在下拉框选择，如认证源属性。
        认证源属性名	LDAP用户的属性名称。

     4. 可输入“测试帐号”和“测试密码”，单击“测试”进行验证连通性。

        

        如果6.c中，选择云桥Agent勾选了多个，最多不超过5个，单击“测试”后，系统会逐一进行连通性验证。如果验证失败，会进行提示。

        

     5. 开启LDAP认证。具体可参考在OneAccess中开启LDAP认证。
     6. 验证LDAP认证登录。具体可参考验证LDAP认证登录OneAccess用户门户。