腾讯云堡垒机之静态口令+LDAP组合认证
原创
背景:出于安全登录考虑,有些客户需要使用堡垒机的静态口令+LDAP组合认证,本文将说明下如何使用LDAP认证。
一、首先确保已经配置好了LDAP服务
1、添加LDAP用户,例如,我们在顶级域为dn: dc=example,dc=com的组织单元为dn: ou=people,dc=example,dc=com,添加了两个用户,test01和test02(已经有LDAP用户的可略过此步骤)
添加用户信息
# vim ldapuser.ldif
---------------------------------------------------------------
# create ldap user
# replace to your own domain name for "dc=example,dc=com" section
dn: uid=test01,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: test01
cn: SZ CHINA
sn: SZ
userPassword: {SSHA}y6zUEjGzcEeLk1UZ3mid3+u5l6QNPOIA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test01
dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid: test01
#######################################################
dn: uid=test02,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: test02
cn: BJ CHINA
sn: BJ
userPassword: {SSHA}eXISvr3gimxc1PLzzHWvspkQjClfAv9G
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/users/test02
dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1001
memberUid: test02 注:userPassword字段表示LDAP用户密码,其通过slappasswd命令设置的加密之后的密码,该密码会在域用户登录堡垒机时使用,因此密码要妥善保管
添加用户
# ldapadd -x -D cn=admin,dc=example,dc=com -W -f ldapuser.ldif2、通过以下命令查询LDAP用户
以下这里的根域dn: dc=example,dc=com
# ldapsearch -x -b "dc=example,dc=com" -H ldap://127.0.0.1
......
# test01, people, example.com
dn: uid=test01,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid:: dGVzdDAxIA==
cn:: U1ogQ0hJTkEg
sn: CHINA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test01
# Secretary, group, example.com
dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid:: dGVzdDAxIA==
# test02, people, example.com
dn: uid=test02,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid:: dGVzdDAyIA==
cn:: U1ogQ0hJTkEg
sn: CHINA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test02
......二、使用管理员用户admin进行堡垒机web页面,"系统管理"->"全局认证方式",使用静态口令+AD域组合认证
image.png
三、域服务器信息配置
根据dn相关的配置:dn: uid=test01,ou=people,dc=example,dc=com和dn: uid=test02,ou=people,dc=example,dc=com
填下如下信息
image.png
四、点击用户管理,添加test01和test02两个用户
image.png
五、使用test01和test02用户进行登录,将slappasswd设置的密码输入,即可完成登录
image.png
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
相关产品与服务
运维安全中心(堡垒机)
腾讯云运维安全中心(堡垒机)(Operation and Maintenance Security Center (Bastion Host))可为您的 IT 资产提供代理访问以及智能操作审计服务,为客户构建一套完善的事前预防、事中监控、事后审计安全管理体系,助力企业顺利通过等保测评。
腾讯云开发者
