JumpServer 堡垒机-- LDAP Authentication（三）

LDAP

Ldap 认证就是把用户数据信息放在 Ldap 服务器上,通过 ldap 服务器上的数据对用户进行认证处理。好比采用关系型数据库存储用户信息数据进行用户认证的道理一样。Ldap 也可以算作是数据库,不过不是关系型的,而是采用层次型组织数据的。Ldap是开放的Internet标准，支持跨平台的Internet协议，在业界中得到广泛认可的，并且市场上或者开源社区上的大多产品都加入了对Ldap的支持，因此对于这类系统，不需单独定制，只需要通过Ldap做简单的配置就可以与服务器做认证交互。

JumpServer 身份认证

JumpServer 身份认证大致分为登录认证 和 MFA 认证 ，本文将介绍JumpServer 对接Windows AD域 实现LDAP/AD用户认证。

登录认证

资源统一登录与认证

LDAP/AD 认证

RADIUS 认证

OpenID 认证（实现单点登录）

CAS 认证 （实现单点登录）

MFA认证

MFA 二次认证（Google Authenticator）

RADIUS 二次认证

登录复核（X-PACK）

用户登录行为受管理员的监管与控制

Windows AD域

创建OU jumpserver

在OU中创建jumpserver账号

设置账号密码

OU中用户账户

JumpServer--系统配置--LDAP配置

LDAP地址 ldap://serverurl:389 或者 ldaps://serverurl:636(需要勾选ssl)

# 此处是设置LDAP的服务器,推荐使用IP, 防止解析问题

绑定DN cn=jumpserver,ou=jumpserver,dc=zjsj,dc=com

# 这里是设置认证用户的信息, jumpserver会使用这个用户去校验ldap的信息是否正确

密码 ******

用户OU ou=jumpserver,dc=zjsj,dc=com

# 这里是设置用来登录jumpserver的组织单元, 比如我要用某个ou的用户来登录jumpserver

用户过滤器 (cn=%(user)s)

# 这里是设置筛选ldap用户的哪些属性, 不能有多余的空格

LADP属性映射 {"username": "sAMAccountName", "name": "cn", "email": "mail"}

#把ldap用户的属性映射到jumpserver上

启动LDAP认证# 使用 LDAP用户登录 jumpserver,则必选

注意：Jumpserver LDAP 单个ou只能导入1000 user，如果超过单ou超过1000，可使用多ou实现，格式如下：

ou=jumpserver,dc=zjsj,dc=com | ou=user,dc=zjsj,dc=com | ou=xxx,dc=zjsj,dc=com

测试连接

测试LDAP用户登录

LDAP 用户导入

查看用户列表

用户登陆测试

JumpServer LDAP 部分功能需在 jumpserver/config.yml 进行设置

[root@JumpServer /]# vim /opt/jumpserver/config.yml
# LDAP/AD settings
# LDAP 搜索分页数量
# AUTH_LDAP_SEARCH_PAGED_SIZE: 1000
#
# 定时同步用户
# 启用 / 禁用
# AUTH_LDAP_SYNC_IS_PERIODIC: True
# 同步间隔 (单位: 时) (优先）
# AUTH_LDAP_SYNC_INTERVAL: 12
# Crontab 表达式
# AUTH_LDAP_SYNC_CRONTAB: * 6 * * *
#
# LDAP 用户登录时仅允许在用户列表中的用户执行 LDAP Server 认证
# AUTH_LDAP_USER_LOGIN_ONLY_IN_USERS: False
#
# LDAP 认证时如果日志中出现以下信息将参数设置为 0 (详情参见：https://www.python-ldap.org/en/latest/faq.html)
# In order to perform this operation a successful bind must be completed on the connection
# AUTH_LDAP_OPTIONS_OPT_REFERRALS: -1

完成 JumpServer Ldap Authentication on Active Directory 对接后，后续密码更新管理可直接在Active Directory上操作！