新手517842 发表于 2023-5-14 22:13
  
感谢分享,学习学习!!!
新手899116 发表于 2023-5-14 22:17
  
感谢分享,学习学习!!!
JM 发表于 2023-5-14 22:21
  
感谢分享,学习学习!!!
飞翔的苹果 发表于 2023-5-15 08:04
  
打卡学习,感谢大佬分享
新手780102 发表于 2023-5-15 13:57
  
打卡学习,感谢大佬分享!
807710 发表于 2023-5-17 15:38
  
感谢大佬分享,学习了
dhf 发表于 2023-6-27 09:51
  
每日打卡学习,感谢分享,学习了!!!
【天逸出品】【第圩四期】LDAP环境下堡垒机升级11版本时候,存在的超级风险
  

常鸿 85244人觉得有帮助

{{ttag.title}}


最近堡垒机的11版本优化了很多功能,对堡垒机的运维管理员提升了很高的效率

而且对登录时候的逻辑,做了优化,可以更加好的跟其他产品进行单点联动

具体有哪些优化,请参考升级向导


但是这些都不是重点

重点是什么,重点是升级有隐患

如果你的堡垒机再3.0.10版本对接了LDAP,如果你想升级到3.0.11,如果你不想辞职

不开玩笑,一定要好好看这篇文章


不饶圈子 直接说风险(升级指导里没写,竟然没写!!!)

3.0.10版本如果对接LDAP 只能对接 微软的AD,然后升级到3.0.11以后 增加了对接 open ldap

LDAP 配置的位置没有变,但是   LDAP 配置对接时候的格式变了

如果你升级了,刚升级上去的时候,什么都正常。但是一但到了AD 定时同步用户的时刻,就会同步失败,紧接着所有的AD 用户就会全部被删掉,然后 分配的授权,里面的用户全部都会清空

而且这种情况发生以后,研发没法补救的


幸运的是 ,这坑被我踩到了,更幸运的是,客户跟我的关系还不错,不至于被投诉
加上 我这边立刻进行产品配置进行补救,平息了这个风波


以下是存在风险的具体原因,以及如何再当下情况下进行升级的方案

在3.0.10 版本时候,对接LDAP ,管理员格式,只需要添加CN属性就可以

到了3.0.11 版本管理员的格式,需要加上dc 属性了,如下图所示

因为管理员格式调整的原因,会导致整个的对接失败


所以说,如果要做堡垒机的升级,首先时间选择离着同步时刻远一点的时间点


堡垒机升级完成以后,安全管理员登录进去,查看一下用户和授权是不是跟升级前一样的

如果用户还在,授权也正常,切换到系统管理员

第一步,重新打开LDAP认证

第二步,重新配置LDAP对接认证


我画箭头的地方 都需要重新填写 或者 重新选择,特别是归属节点,需要重新选择一下


填写选择完成以后,点击立即发现,如果发现成功,且没有用户导入,那么LDAP就对接好了,之前的用户和授权也不会丢失

特别提醒:
升级前 一定要备份一下
升级后用户还在的时候,立刻备份一个配置,如果对接ldap那里出错,就直接还原备份,再次对接



打赏鼓励作者,期待更多好文!

打赏
45人已打赏

发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
【 社区to talk】
干货满满
技术盲盒
技术笔记
产品连连看
新版本体验
技术咨询
标准化排查
信服课堂视频
每周精选
2023技术争霸赛专题
GIF动图学习
功能体验
技术晨报
云计算知识
自助服务平台操作指引
社区新周刊
技术圆桌
运维工具
用户认证
资源访问
玩转零信任
社区帮助指南
通用技术
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人