认证源云桥

云桥

# 概述

认证源类型云桥是IDaaS云桥中的一种,用于建立竹云IDaaS与企业内部相应认证源之间的连接通道,目前支持AD认证源和LDAP认证源两种认证源。

本章节指导您在IDaaS平台部署及使用认证源云桥Agent,提供认证源云桥安装包的更新记录,以便您根据项目实际需求选择合适版本。下文以操作系统CentOS Linux release 8.0.1905部署认证源云桥Agent为例

# 前提条件

  • 拥有IDaaS企业中心平台的管理员权限。
  • 拥有内网服务器操作权限。
  • 服务器已安装OpenJDK 17及以上版本。

# 部署前准备

# 软件包

请提前准备如下所示软件包。

软件包名称 说明 下载链接
cloudAgent-authSource-{版本号}.zip 认证源云桥安装包。 点此下载 (opens new window)
cloudAgent-authSource-{版本号}.zip.sha256 认证源云桥安装包的SHA256校验文件,用于校验认证源云桥安装包的完整性。 点此下载 (opens new window)

认证源云桥安装包解压后的文件如下:

名称 说明
agent.sh 开机自启动云桥Agent的文件。
cloudAgent-authSource.jar 认证源云桥Agent的部署包。
cloudBridge.sh 手动启动云桥Agent的文件。
config 云桥Agent配置文件(application.yml)的存放目录。
log 云桥Agent日志(agent.log)的存放目录。

# 部署认证源云桥

  1. 登录IDaaS企业中心平台,在上方导航栏选择 “设置 > 云桥配置“ ,单击 ”添加云桥Agent“ ,设置名称并选择认证源类型云桥

    • 云桥Agent添加完成后,系统会自动生成ClientID和ClientSecret,请妥善保管。
    • 如不慎忘记ClientSecret,单击目标Agent的 “重置密钥” 即可重新生成。重置后,原密钥将会失效,请谨慎操作。
    • 支持查看云桥连接日志及服务日志。
    • 支持为云桥Agent配置IP,配置为部署云桥Agent的服务器的出口IP,配置后只允许该IP连接IDaaS云服务,以确保服务安全性。
    • 支持删除目标Agent,请谨慎操作。

  2. 上传获取的认证源云桥的所有软件包至目标服务器,执行如下命令校验云桥安装包的完整性,当回显信息显示OK,表示完整性校验成功。

    sha256sum -c cloudAgent-authSource-{版本号}.zip.sha256
    
    1
  3. 执行以下命令解压认证源云桥安装包,其中存放地址必须唯一,否则会导致安装出错。

    unzip -od {文件解压后的存放地址} cloudAgent-authSource-{版本号}.zip
    
    1
  4. 进入文件解压后的目录,配置config目录下的application.yml文件。

    ###UTF-8格式YAML配置标识头,勿删除###
    server:
      # 云桥启动端口  
      port: 9082
    
    agent:
      # 云桥服务地址,domain为在IDaaS的租户域名xx.bccastle.com
      示例:serverAddress: wss://domain/api/v1/ws
      # 云桥ClientID,在IDaaS创建的云桥的ClientID
      示例:agentId: 7jve68NwihfnjsD8SJToWxTU5Wg8hkl1
      # 云桥ClientSecret,在IDaaS创建的云桥的ClientSecret
      示例:agentSecret: LdfwryojYHLMaeNGVdr9fSh1iwyDCL0QuBx2wewrjxT5UOhUQVpAqwerfgj8pLNV1
    
    authentication:
      ad:
        # AD认证开关,默认值为false,为true开启AD认证
        示例:enable: false
        # AD服务器地址,格式为ldap://host:port/,多个地址时使用,分隔,多个地址时schema必须全部相同,全部都为ldap或全部都为ldaps
        示例:urls: ldap://localhost:389/
        # AD中的节点,会到该节点下查询用户
        示例:rootDn: User
        # AD中的域名,域名存在时,自动拼接登录名+@+域名作为查询条件,否则仅登录名作为查询条件
        示例:domain: test.ad.com
        # 用户查询条件,根据对象类和用户登录名进行查找,userPrincipalName可根据实际情况调整;
        # 占位符说明:{0}-带域名查询,页面输入值+域名,如zhangsan@companya.cn,
        # 无域名时获取认证源域名属性值拼接后查询,{1}-原值查询,以页面输入值查询,如zhangsan。
        示例:searchFilter: '(&(objectClass=user)(userPrincipalName={0}))'
        # AD连接超时时间,可设置范围 1000 - 3000 毫秒
        示例:timeout: 1000
      
      ldap:
        # LDAP 认证开关,默认值false,为true开启LDAP认证
        示例:enable: false
        # LDAP服务器地址,格式为ldap://host:port/,多个地址时使用,分隔,多个地址时schema必须全部相同,全部都为ldap或全部都为ldaps
        示例:urls: ldap://localhost:389/
        # LDAP目录树最顶部的根目录
        示例:baseDn: DC=test,DC=com,DC=cn
        # LDAP管理员账号标识
        示例:managerDn: testadmin
        # LDAP管理员账号密码
        示例:managerPassword: Passw0rd
        # Ldap公共搜索路径
        示例:userSearchBase: ou=people
        # LDAP中匹配系统用户的过滤条件,详细请参考:https://ldap.com/ldap-filters/,基于条件的查询优先级低于基于DN的查询
        示例:userSearchFilter: (&(objectClass=user)(uid={0}))
        # 填写用户ID或者组织单元除BaseDn外,Ldap用户搜索路径,用户DN模式查询优先
        示例:dnPatterns: uid={0},ou=people
        # LDAP连接超时时间,可设置范围 1000 - 3000 毫秒
        示例:timeout: 1000
    
    # This is the Agent log level control configuration
    logging:
      level:
        com.oneaccess.cloudbridge: DEBUG
      file:
        # The value of the attribute must have a unit, which can be KB or MB
        # 单个日志文件大小。默认值10MB,最大值10MB
        # default: 10MB
        # max-size: 10MB
        # The maximum number of days that log files are to be archived
        # 日志最长保留时间。默认值7天,最大值7天
        # default: 7 DAYS
        # max-history: 7
    
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
  5. 配置文件完成后,在云桥安装包解压后的目录下执行以下命令启动云桥,当提示Starting Agent Success表示云桥启动成功,若启动失败请排查配置文件。

    ./cloudBridge.sh start
    
    1

  6. 可选)如果需要开机自启动云桥,请在云桥安装包解压后的目录下执行以下命令,当提示The Agent service installed successfully, need to reboot will take effect表示启动成功。

    ./agent install
    
    1
  7. 可选)如果需要取消云桥开机自启动,请在云桥安装包解压后的目录下执行以下命令,当提示uninstall Agent Success表示取消云桥开机自启动成功。

    ./agent uninstall
    
    1
  8. 您可以通过目录中的log/agent.log文件获取日志信息。

# 使用认证源云桥

# 更新日志

本模块展示认证源云桥Agent安装包的更新记录。

版本 更新说明
V24.4.1.0 云桥客户端安全加固
V24.2.1.0 支持 AD、LDAP 连接超时时间配置
V23.10.1.0 JDK版本升级到JDK 17
V23.5.1.0 增加客户端连接信息和日志备份
V22.11.1.0 1.优化了一些已知bug
2.优化WebSocket的连接
V22.9.1.0 1.修改云桥安装脚本,以systemd的方式安装看门狗,支持Ubuntu系统
2.安装脚本增加安装前的环境检查
V22.7.1.0 支持查看云桥服务日志
V22.6.1.0 支持LDAP认证
V21.10.2.0 1.配置错误,提示更加精确
2.优化Agent获取Pid的方式
V21.9.2.0 新增看门狗机制
V21.9.1.0 1.云桥重连机制优化
2.优化了一些已知BUG