腾讯云堡垒机之静态口令+LDAP组合认证

2020-12-16 17:44:52 浏览数 (2)

背景:出于安全登录考虑,有些客户需要使用堡垒机的静态口令 LDAP组合认证,本文将说明下如何使用LDAP认证。

一、首先确保已经配置好了LDAP服务

1、添加LDAP用户,例如,我们在顶级域为dn: dc=example,dc=com的组织单元为dn: ou=people,dc=example,dc=com,添加了两个用户,test01和test02(已经有LDAP用户的可略过此步骤)

代码语言:txt复制
添加用户信息
# vim ldapuser.ldif
---------------------------------------------------------------
# create ldap user
# replace to your own domain name for "dc=example,dc=com" section
dn: uid=test01,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: test01 
cn: SZ CHINA 
sn: SZ 
userPassword: {SSHA}y6zUEjGzcEeLk1UZ3mid3 u5l6QNPOIA 
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test01

dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid: test01 
#######################################################

dn: uid=test02,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: test02 
cn: BJ CHINA 
sn: BJ 
userPassword: {SSHA}eXISvr3gimxc1PLzzHWvspkQjClfAv9G 
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/users/test02

dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1001
memberUid: test02 

注:userPassword字段表示LDAP用户密码,其通过slappasswd命令设置的加密之后的密码,该密码会在域用户登录堡垒机时使用,因此密码要妥善保管

代码语言:txt复制
添加用户
# ldapadd -x -D cn=admin,dc=example,dc=com -W -f ldapuser.ldif

2、通过以下命令查询LDAP用户

以下这里的根域dn: dc=example,dc=com

代码语言:txt复制
# ldapsearch -x -b "dc=example,dc=com" -H ldap://127.0.0.1
......
# test01, people, example.com
dn: uid=test01,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid:: dGVzdDAxIA==
cn:: U1ogQ0hJTkEg
sn: CHINA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test01

# Secretary, group, example.com
dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid:: dGVzdDAxIA==

# test02, people, example.com
dn: uid=test02,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid:: dGVzdDAyIA==
cn:: U1ogQ0hJTkEg
sn: CHINA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test02
......

二、使用管理员用户admin进行堡垒机web页面,"系统管理"->"全局认证方式",使用静态口令 AD域组合认证

image.pngimage.png

三、域服务器信息配置

根据dn相关的配置:dn: uid=test01,ou=people,dc=example,dc=com和dn: uid=test02,ou=people,dc=example,dc=com

填下如下信息

image.pngimage.png

四、点击用户管理,添加test01和test02两个用户

image.pngimage.png

五、使用test01和test02用户进行登录,将slappasswd设置的密码输入,即可完成登录

image.pngimage.png

0 人点赞