本帖最后由 常鸿 于 2022-12-20 14:22 编辑
羊了个羊这个小游戏,能瞬间火爆全国,一定是有什么原因的
我也刚从阳性的高烧中冷静下来
或许这场疫情,这次的高温,是给忙碌的大家一个休息的机会,也可以检测我们身体是否有基础问题
所以让我们,无畏新冠,浴火重生
为了证明高烧没有烧坏脑子,我决定来一篇猛料
这是2022年度的最后一篇啦
对于LDAP认证对接,相信大家已经太熟悉了,外部认证,组织架构导入,是运用程度最高的认证对接之一
但是,有这样一个问题。
例如VPN,或者桌面云,客户LDAP架构中的的用户,并不是全部用户都开放使用权限。客户经常会有这样一个要求:
认证对接到LDAP上面,默认全部不允许登录,管理员去手动放行指定用户的登录使用权限。
本期涉及产品:OSM、SSLVPN、ATRUST、VDI
需求看上去是不是很简单,来想一想,该怎么实现呢,问问400?
首先说个通用的解决方案,就是编辑LDAP上的用户,给用户加一个字段属性,来标明哪些用户有产品的使用权限,然后,在产品跟LDAP做对接的时候,用户过滤那里,加上针对于该字段的筛选条件,直接筛选出用户 但是我实际上碰到的用户,他们并不愿意去配置LDAP,所以更多的还是通过咱们产品来控制权限
堡垒机 OSM
堡垒机LDAP对接过程见上一期帖子,而且堡垒机本身对接的机制就复合上面那种模式,所以这里就不再重复赘述了。直接跳过
零信任 ATRUST
零信任对接LDAP以后,如果不做这个登录的限制,用户随便登录还会占据授权数目
零信任在用户管理--编辑用户目录那里,可以配置未导入的用户禁止登录
乍一看,这个功能可以呀,未导入到本地的就不让他登录,但是呢 零信任有同步用户的功能,可以配置时间周期,但是不能关闭
这就意味着,虽然我禁止了未导入用户 来登录零信任,但是只要达到用户同步周期了,我就会自动去给你把用户导入过来 想通过手动导入来控制用户使用权限的方法是行不通了。
不过还好还有plan B
如果零信任是高级版授权,就可以用一个增强功能叫上线准入策略
实现这个功能的思路是这样的,首先所有用户都导入到本地
然后创建一个上线注入策略
创建的时候,要写一个不可能实现的条件,比如说主机上必须运行一个abcdefgh.exe的进程 满足这个条件的时候呢,就允许登录零信任 当然没人能满足
这个条件的适用用户,直接选择LDAP目录下的所有用户 这下好了,所有人都登录不上去了
然后呢,在适用用户下面还有一个列表叫排除用户,在这个排除用户列表里,把真正需要登录使用零信任的用户选上
注意:排除用户的数目最多是1000个用户,如果说客户的用户量比较庞大,那么就多创建几个上线准入策略,慢慢梳理
SSLVPN
SSL设备的话,要实现这个功能,版本至少要7.6.3以上 实现方法也比较简单 首先编辑LDAP映射的用户组 将账号可用关闭
7.6.3以后的版本,组里的用户的 可用状态,可以随着用户组的改变一起继承改变 之前的版本,更改用户组的配置,用户的状态不会变
用户组可用状态关闭后,哪些用户需要使用VPN,再去他的账号下面打开就行
话说理论上应该可行,还没有去验证
桌面云 VDI
桌面云关于用户权限的控制配置都在VDC上,VDC的架构跟SSLvpn是很像的,所以SSLvpn可以用的方法在VDC上面也可以用
不过呢 VDC上也有一些SSL上没有的配置
我这边有个真实案例,某客户 LDAP里面的用户数量有2W多人,实际需要用到桌面云的用户不到2Q人 限制权限的同时,还要方便去查看和管理
最终规划的方案 首先LDAP对接,但是用户不导入到VDC。勾选上 上图框选的 只有导入到本地的用户才能LDAP认证
然后通过 梳理用户情况,把LDAP里面的用户创建同名的账号 手动导入到本地用户里
然后编辑导入的用户组,把认证方式改成LDAP
要注意的是,导入的用户名需要和LDAP里面的用户名保持一致,密码可以随便填,认证方式选择LDAP就行 这样其他LDAP里面的用户是没法登录的,VDC上也不会看到太多的用户,影响后期运维
以上就是今天的全部内容
| 
发表于 2024-3-30 20:40
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员2级 
