堡垒机

产品文档

堡垒机

认证源管理

支持OAuth2.0、AD/LDAP第三方应用认证机制,做到防止运维人员身份冒用和复用,控制账号密码泄露风险。

通过【用户】-【认证源管理】查看创建的认证源,认证源列表展示认证源名称、认证类型、用户数、操作。

新建认证源

管理员可以在 【用户】-【认证源管理】点击左上角创建认证源。

OAuth2.0:填写认证源名称、认证源类型、认证服务端点、令牌服务端点、用户信息端点、客户端/应用ID、客户端密码,完成创建。

说明:

字段 说明
认证服务端点 用于请求并打开OAuth服务认证页面
令牌服务端点 用于获取OAuth服务令牌
用户信息端点 用于获取OAuth服务用户信息
客户端/应用ID 用于请求时互信
客户端密码 用于请求时互信
redirectUri 用于OAuth服务器回传结果
redirectUriRelay 用于ssh登录认证时,OAuth服务器回传结果

AD/LDAP:填写认证源名称、认证源类型、服务器地址、Base DN、部门过滤、用户过滤、管理员账号、管理员密码,选择用户名、手机号、Email,完成创建。

说明:

  • 服务器地址:配置LDAP服务器地址,用于请求LDAP服务器;端口默认明文传输,勾选“开启SSL”则加密传输。

  • Base DN:LDAP目录树的最顶部就是根,也就是所谓的 "Base DN",如 "dc=xksec,dc=com, ou=JDCLOUD "。见下图示意。

  • 部门过滤:部门过滤属性,例如:(|(objectclass=group)(objectclass=groupofnames)(objectclass=organizationalUnit))
  • 用户过滤: 用户过滤属性,例如 :(|(objectclass=user)(objectclass=person)(objectclass=inetOrgPerson))
  • 管理员账号: LDAP服务器管理员账号
  • 管理员密码: LDAP服务器管理员密码
  • 选择用户名: 选择用户属性
  • 手机号:选择手机号属性
  • Email:选择Email属性

AD/LDAP用户导入

1.通过京东云堡垒机【用户】-【认证源】,完成AD/LDAP创建。选择已建好的认证源列选择“导入用户”,如下图:

2.选择AD/LDAP服务已创建的用户进行导入。(已导入的用户不展示)

3.导入成功,在【用户】-【用户管理】列表展示导入的用户信息。

OAuth2.0认证源创建示例

  • 京东云认证认证源配置:

通过登录京东云控制台,【用户池】-【应用管理】完成应用创建,创建过程中的回调地址填写堡垒机认证源创建时的redirectUri和redirectUriRelay;密码验证方式、令牌等配置参考下图。

  • 以某平台OAuth认证配置说明:

1.首先需要在某平台创建一个OAuth2.0认证;

2.登录京东云控制台,登录堡垒机创建“认证源”,复制京东云堡垒机创建页面的redirectUri、redirectUriRelay配置到某平台OAuth内。(作用:用于双方认证互信)

3.将某平台的认证服务端点、令牌服务端点、用户信息端点、客户端/应用ID、客户端密码配置到京东云“认证源”完成第三方认证配置。

认证源登录操作说明

认证源完成创建后,在【用户管理】新建用户的第三方认证源类型支持选择已创建的认证源配置。

成功配置认证源后,则在登录堡垒机时,在堡垒机登录页面的“登录”按钮下方显示“第三方认证”入口。

点击“第三方认证登录”按钮,跳转第三方登录页面。

输入用户名后,点击“登录”按钮,跳转第三方登录页面(如下图);成功输入第三方认证的账号和密码,则成功登录并跳转堡垒机控制台页面。

SSH认证源登录说明

当运维人员使用SSH通过认证源方式登录时;

1.在SSH登录时输入password位置直接回车,之后会显示(如下图)一个URL地址。

2.复制上图URL,通过浏览器打开(如下图),复制凭证.

3.将复制的凭证输入SSH页面完成登录。

更新时间:2022-10-11 10:34:39
feedback