认证源云桥
# 概述
认证源类型云桥是IDaaS云桥中的一种,用于建立竹云IDaaS与企业内部相应认证源之间的连接通道,目前支持AD认证源和LDAP认证源两种认证源。
本章节指导您在IDaaS平台部署及使用认证源云桥Agent,提供认证源云桥安装包的更新记录,以便您根据项目实际需求选择合适版本。下文以操作系统CentOS Linux release 8.0.1905部署认证源云桥Agent为例。
# 前提条件
- 拥有IDaaS企业中心平台的管理员权限。
- 拥有内网服务器操作权限。
- 服务器已安装OpenJDK 17及以上版本。
# 部署前准备
# 软件包
请提前准备如下所示软件包。
软件包名称 | 说明 | 下载链接 |
---|---|---|
cloudAgent-authSource-{版本号}.zip | 认证源云桥安装包。 | 点此下载 (opens new window) |
cloudAgent-authSource-{版本号}.zip.sha256 | 认证源云桥安装包的SHA256校验文件,用于校验认证源云桥安装包的完整性。 | 点此下载 (opens new window) |
认证源云桥安装包解压后的文件如下:
名称 | 说明 |
---|---|
agent.sh | 开机自启动云桥Agent的文件。 |
cloudAgent-authSource.jar | 认证源云桥Agent的部署包。 |
cloudBridge.sh | 手动启动云桥Agent的文件。 |
config | 云桥Agent配置文件(application.yml)的存放目录。 |
log | 云桥Agent日志(agent.log)的存放目录。 |
# 部署认证源云桥
登录IDaaS企业中心平台,在上方导航栏选择 “设置 > 云桥配置“ ,单击 ”添加云桥Agent“ ,设置名称并选择认证源类型云桥。
- 云桥Agent添加完成后,系统会自动生成ClientID和ClientSecret,请妥善保管。
- 如不慎忘记ClientSecret,单击目标Agent的 “重置密钥” 即可重新生成。重置后,原密钥将会失效,请谨慎操作。
- 支持查看云桥连接日志及服务日志。
- 支持为云桥Agent配置IP,配置为部署云桥Agent的服务器的出口IP,配置后只允许该IP连接IDaaS云服务,以确保服务安全性。
- 支持删除目标Agent,请谨慎操作。
上传获取的认证源云桥的所有软件包至目标服务器,执行如下命令校验云桥安装包的完整性,当回显信息显示OK,表示完整性校验成功。
sha256sum -c cloudAgent-authSource-{版本号}.zip.sha256
1执行以下命令解压认证源云桥安装包,其中存放地址必须唯一,否则会导致安装出错。
unzip -od {文件解压后的存放地址} cloudAgent-authSource-{版本号}.zip
1进入文件解压后的目录,配置config目录下的
application.yml
文件。###UTF-8格式YAML配置标识头,勿删除### server: # 云桥启动端口 port: 9082 agent: # 云桥服务地址,domain为在IDaaS的租户域名xx.bccastle.com 示例:serverAddress: wss://domain/api/v1/ws # 云桥ClientID,在IDaaS创建的云桥的ClientID 示例:agentId: 7jve68NwihfnjsD8SJToWxTU5Wg8hkl1 # 云桥ClientSecret,在IDaaS创建的云桥的ClientSecret 示例:agentSecret: LdfwryojYHLMaeNGVdr9fSh1iwyDCL0QuBx2wewrjxT5UOhUQVpAqwerfgj8pLNV1 authentication: ad: # AD认证开关,默认值为false,为true开启AD认证 示例:enable: false # AD服务器地址,格式为ldap://host:port/,多个地址时使用,分隔,多个地址时schema必须全部相同,全部都为ldap或全部都为ldaps 示例:urls: ldap://localhost:389/ # AD中的节点,会到该节点下查询用户 示例:rootDn: User # AD中的域名,域名存在时,自动拼接登录名+@+域名作为查询条件,否则仅登录名作为查询条件 示例:domain: test.ad.com # 用户查询条件,根据对象类和用户登录名进行查找,userPrincipalName可根据实际情况调整; # 占位符说明:{0}-带域名查询,页面输入值+域名,如zhangsan@companya.cn, # 无域名时获取认证源域名属性值拼接后查询,{1}-原值查询,以页面输入值查询,如zhangsan。 示例:searchFilter: '(&(objectClass=user)(userPrincipalName={0}))' # AD连接超时时间,可设置范围 1000 - 3000 毫秒 示例:timeout: 1000 ldap: # LDAP 认证开关,默认值false,为true开启LDAP认证 示例:enable: false # LDAP服务器地址,格式为ldap://host:port/,多个地址时使用,分隔,多个地址时schema必须全部相同,全部都为ldap或全部都为ldaps 示例:urls: ldap://localhost:389/ # LDAP目录树最顶部的根目录 示例:baseDn: DC=test,DC=com,DC=cn # LDAP管理员账号标识 示例:managerDn: testadmin # LDAP管理员账号密码 示例:managerPassword: Passw0rd # Ldap公共搜索路径 示例:userSearchBase: ou=people # LDAP中匹配系统用户的过滤条件,详细请参考:https://ldap.com/ldap-filters/,基于条件的查询优先级低于基于DN的查询 示例:userSearchFilter: (&(objectClass=user)(uid={0})) # 填写用户ID或者组织单元除BaseDn外,Ldap用户搜索路径,用户DN模式查询优先 示例:dnPatterns: uid={0},ou=people # LDAP连接超时时间,可设置范围 1000 - 3000 毫秒 示例:timeout: 1000 # This is the Agent log level control configuration logging: level: com.oneaccess.cloudbridge: DEBUG file: # The value of the attribute must have a unit, which can be KB or MB # 单个日志文件大小。默认值10MB,最大值10MB # default: 10MB # max-size: 10MB # The maximum number of days that log files are to be archived # 日志最长保留时间。默认值7天,最大值7天 # default: 7 DAYS # max-history: 7
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63配置文件完成后,在云桥安装包解压后的目录下执行以下命令启动云桥,当提示Starting Agent Success表示云桥启动成功,若启动失败请排查配置文件。
./cloudBridge.sh start
1(可选)如果需要开机自启动云桥,请在云桥安装包解压后的目录下执行以下命令,当提示The Agent service installed successfully, need to reboot will take effect表示启动成功。
./agent install
1(可选)如果需要取消云桥开机自启动,请在云桥安装包解压后的目录下执行以下命令,当提示uninstall Agent Success表示取消云桥开机自启动成功。
./agent uninstall
1您可以通过目录中的
log/agent.log
文件获取日志信息。
# 使用认证源云桥
# 更新日志
本模块展示认证源云桥Agent安装包的更新记录。
版本 | 更新说明 |
---|---|
V24.4.1.0 | 云桥客户端安全加固 |
V24.2.1.0 | 支持 AD、LDAP 连接超时时间配置 |
V23.10.1.0 | JDK版本升级到JDK 17 |
V23.5.1.0 | 增加客户端连接信息和日志备份 |
V22.11.1.0 | 1.优化了一些已知bug 2.优化WebSocket的连接 |
V22.9.1.0 | 1.修改云桥安装脚本,以systemd的方式安装看门狗,支持Ubuntu系统 2.安装脚本增加安装前的环境检查 |
V22.7.1.0 | 支持查看云桥服务日志 |
V22.6.1.0 | 支持LDAP认证 |
V21.10.2.0 | 1.配置错误,提示更加精确 2.优化Agent获取Pid的方式 |
V21.9.2.0 | 新增看门狗机制 |
V21.9.1.0 | 1.云桥重连机制优化 2.优化了一些已知BUG |