本帖最后由 常鸿 于 2024-2-28 17:53 编辑
此文开始之前,首先感谢为了这个项目付出的专家和研发们
先看一下效果
通过AC 里面的账号可以直接登录零信任,再用这个账号单点登录到堡垒机
实现了建一套账号密码,登录所有系统,并且优化登录方式,即安全,又高效
各个产品版本 AC :13.0.102 ATRUST 2.3.10 OSM 3.0.11
关于AC的配置
首先就是创建账号,这里有一个需要注意的事项 创建账号的时候不要创建同名账号、同名组等
账号创建完成以后需要开放LDAP接口
AC上面做这个操作就可以了
本来我在AC上面有一个构想,那就是在AC 上面创建的用户给他增加自定义的属性
然后这个属性在ldap 查看器里面 确实能看到
我在想 通过这个属性来做针对其他设备的 用户筛选
比如我上面那个图上的 我筛选 sgfatrust=yes 以这个为条件 把需要开放零信任使用权的用户同步到零信任上
但是后来经过两三天的排查,发现虽然说ldap查看器里面能看到用户属性,但是这个并不能作为筛选用户的条件,代码层面不支持,需要支持的话就需要走定制开发
最后这个构想没能实现,后来就是将全部的用户都同步到了零信任和堡垒机上面
关于OSM
从3.0.11版本开始,堡垒机开始支持open ldap了
但是 单独一个 osm 和 AC 的LDAP对接 也接近花了一个周的时间
直接是对接不上的,研发在后台替换了好几次ldap对接的文件,最终才能同步用户到堡垒机上
然后有一个配置的小细节,就是再配置LDAP认证的时候,一定不要用匿名查询,匿名查询会报错
最后是关于ATRUST 首先,ATRUST对接AC的ldap 要用idtrust ldap模式
最开始用的是open ldap 结果对接看着没问题,但是就是登录不上,改成idtrust ldap 就好用了
从理论上open ldap 应该也是能对接的,但是究竟为什么之前没对接上,没有去查,反正idtrust ldap 好用就用这个了
其次用零信任 发布堡垒机的资源 我选的是隧道资源
为了能进行单点登录,我开启了 转http/https
结果各种测试 别的产品这么改登陆界面都可以正常打开,只有堡垒机改成这个样子就 报 502
后来又找研发,各种排查,最终发现了是 零信任的国密算法跟堡垒机目前的版本不匹配,耗时至少一周
最终是在隧道资源转https这个配置的时候,取消了国密算法套件,实现了https模式的资源发布
最后的难题是从零信任上单点登录到堡垒机
一开始选择的是账号代填里面的智能模式
但是这个智能模式完全不生效
后续使用精准识别,逐一去找每一个控件的名称
再无数次的尝试之后,使用这个控件匹配规则,实现了账号密码包括登录按钮的全自动录入
总结: 从一个想法的诞生,到真正去实现,看似很简单的一步,背后付出的或许是数不清的日日夜夜。执念让我不想放弃,哪怕就是为了这一点点的优化。再次感谢堡垒机团队、零信任团队、上网行为管理团队背后的技术支持,咱们的产品,一定会越来越好。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-2-29 09:13
技术研究员2级 
