腾讯云堡垒机之静态口令+LDAP组合认证

发布于

背景:出于安全登录考虑,有些客户需要使用堡垒机的静态口令+LDAP组合认证,本文将说明下如何使用LDAP认证。

一、首先确保已经配置好了LDAP服务

1、添加LDAP用户,例如,我们在顶级域为dn: dc=example,dc=com的组织单元为dn: ou=people,dc=example,dc=com,添加了两个用户,test01和test02(已经有LDAP用户的可略过此步骤)

代码语言:txt
复制
添加用户信息
# vim ldapuser.ldif
---------------------------------------------------------------
# create ldap user
# replace to your own domain name for "dc=example,dc=com" section
dn: uid=test01,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: test01 
cn: SZ CHINA 
sn: SZ 
userPassword: {SSHA}y6zUEjGzcEeLk1UZ3mid3+u5l6QNPOIA 
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test01

dn: cn=Secretary,ou=group,dc=example,dc=com

objectClass: posixGroup

cn: Secretary

gidNumber: 1000

memberUid: test01

#######################################################


dn: uid=test02,ou=people,dc=example,dc=com

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid: test02

cn: BJ CHINA

sn: BJ

userPassword: {SSHA}eXISvr3gimxc1PLzzHWvspkQjClfAv9G

loginShell: /bin/bash

uidNumber: 1001

gidNumber: 1001

homeDirectory: /home/users/test02


dn: cn=Secretary,ou=group,dc=example,dc=com

objectClass: posixGroup

cn: Secretary

gidNumber: 1001

memberUid: test02

注:userPassword字段表示LDAP用户密码,其通过slappasswd命令设置的加密之后的密码,该密码会在域用户登录堡垒机时使用,因此密码要妥善保管

代码语言:txt
复制
添加用户


ldapadd -x -D cn=admin,dc=example,dc=com -W -f ldapuser.ldif

2、通过以下命令查询LDAP用户

以下这里的根域dn: dc=example,dc=com

代码语言:txt
复制
# ldapsearch -x -b "dc=example,dc=com" -H ldap://127.0.0.1

......


test01, people, example.com


dn: uid=test01,ou=people,dc=example,dc=com

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid:: dGVzdDAxIA==

cn:: U1ogQ0hJTkEg

sn: CHINA

loginShell: /bin/bash

uidNumber: 1000

gidNumber: 1000

homeDirectory: /home/users/test01


Secretary, group, example.com


dn: cn=Secretary,ou=group,dc=example,dc=com

objectClass: posixGroup

cn: Secretary

gidNumber: 1000

memberUid:: dGVzdDAxIA==


test02, people, example.com


dn: uid=test02,ou=people,dc=example,dc=com

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid:: dGVzdDAyIA==

cn:: U1ogQ0hJTkEg

sn: CHINA

loginShell: /bin/bash

uidNumber: 1000

gidNumber: 1000

homeDirectory: /home/users/test02

......

二、使用管理员用户admin进行堡垒机web页面,"系统管理"->"全局认证方式",使用静态口令+AD域组合认证

image.png

三、域服务器信息配置

根据dn相关的配置:dn: uid=test01,ou=people,dc=example,dc=com和dn: uid=test02,ou=people,dc=example,dc=com

填下如下信息

image.png

四、点击用户管理,添加test01和test02两个用户

image.png

五、使用test01和test02用户进行登录,将slappasswd设置的密码输入,即可完成登录

image.png

#数据安全网关