最近堡垒机的11版本优化了很多功能,对堡垒机的运维管理员提升了很高的效率
而且对登录时候的逻辑,做了优化,可以更加好的跟其他产品进行单点联动
具体有哪些优化,请参考升级向导
但是这些都不是重点
重点是什么,重点是升级有隐患
如果你的堡垒机再3.0.10版本对接了LDAP,如果你想升级到3.0.11,如果你不想辞职
不开玩笑,一定要好好看这篇文章
不饶圈子 直接说风险(升级指导里没写,竟然没写!!!)
3.0.10版本如果对接LDAP 只能对接 微软的AD,然后升级到3.0.11以后 增加了对接 open ldap
LDAP 配置的位置没有变,但是 LDAP 配置对接时候的格式变了
如果你升级了,刚升级上去的时候,什么都正常。但是一但到了AD 定时同步用户的时刻,就会同步失败,紧接着所有的AD 用户就会全部被删掉,然后 分配的授权,里面的用户全部都会清空
而且这种情况发生以后,研发没法补救的
幸运的是 ,这坑被我踩到了,更幸运的是,客户跟我的关系还不错,不至于被投诉 加上 我这边立刻进行产品配置进行补救,平息了这个风波
以下是存在风险的具体原因,以及如何再当下情况下进行升级的方案
在3.0.10 版本时候,对接LDAP ,管理员格式,只需要添加CN属性就可以
到了3.0.11 版本管理员的格式,需要加上dc 属性了,如下图所示
因为管理员格式调整的原因,会导致整个的对接失败
所以说,如果要做堡垒机的升级,首先时间选择离着同步时刻远一点的时间点
堡垒机升级完成以后,安全管理员登录进去,查看一下用户和授权是不是跟升级前一样的
如果用户还在,授权也正常,切换到系统管理员
第一步,重新打开LDAP认证
第二步,重新配置LDAP对接认证
我画箭头的地方 都需要重新填写 或者 重新选择,特别是归属节点,需要重新选择一下
填写选择完成以后,点击立即发现,如果发现成功,且没有用户导入,那么LDAP就对接好了,之前的用户和授权也不会丢失
特别提醒: 升级前 一定要备份一下 升级后用户还在的时候,立刻备份一个配置,如果对接ldap那里出错,就直接还原备份,再次对接
|