知识库

Loading

0 评论 / 0 点赞 / 377 阅读  功能介绍  新人入手 最后更新: 2022-07-19 作者: 飞致云 总字数: 1482

概述

JumpServer支持使用LDAP进行登录认证。本篇文章主要介绍如何进行LDAP认证对接并使用AD域用户登录JumpServer。本篇文章不涉及LDAP的搭建与开启memberOf属性,LDAP搭建与开启memberOf属性请参考:https://blog.csdn.net/weixin_41004350/article/details/89521170
配置好的LDAP环境如下所示:
image-1655174788984

LDAP认证开启

LDAP认证的配置位置在:系统设置→认证设置→LDAP。
image-1655175072689

LDAP服务器配置

LDAP服务器的配置如下图:
image-1655175196543
ldap地址:该选项是部署LDAP服务的服务器,需注意请确保LDAP服务器的389端口是否与JumpServer服务器联通。
绑定DN:cn 对应的属性是用户、ou 对应的属性是用户组、dc 对应的域名、备注 AD 域是node3.com

LDAP用户配置

LDAP用户的配置如下图:
image-1655175425107
用户OU根据LDAP的树结构进行填写。根据示例LDAP环境填写如上图。
用户过滤器默认不修改。
用户属性映射需注意:JumpServer2.22版本新支持了同步用户组功能,所以用户映射规则如上图所示。JumpServer2.22版本之前请去除“groups”属性。
注:新增“groups”属性时,需要在“email”属性后添加“,”。

其他设置

其他设置如下图所示:
image-1655175681177
注意:配置完成前请先启动LDAP认证,否则无法同步。

验证用户导入并登录

验证选项如下图所示:
image-1655175793906

测试连接:

image-1655175814444
测试连接成功!!

测试登录:

image-1655175855458
测试登录成功!!

导入用户

提交新增LDAP配置之后,导入用户。
image-1655175975599
选择需要导入的用户或全部导入。

同步设置

在导入页面,可设置同步规则
可设置导入的用户属于哪一个组织结构。
可设置定时执行,根据定时任务设置同步次数与时间。
image-1655176069006

导入结果

导入用户如下所示:
image-1655176193471
新建的用户组如下图所示:
image-1655176238304

客户会问到的一些问题

1、开启LDAP的memberOf属性之后的流程应该是什么样的?

1、开启LDAP的memberOf属性,并创建一个该属性的用户组;
2、新建一个用户或者将原有的用户添加到新建的该用户组当中;
3、在LDAP当中刷新需要导入的用户,新建的用户组也会显示为一个用户名;
4、导入需要导入的用户。导出按钮按下之后,JumpServer会创建一个JumpServer用户组,用户组的命名为AD +LDAP中新建的用户组名。并且新导入的用户存在于新建的用户组中。

2、LDAP的操作更新之后,例如修改配置之后,需要重新启动吗?

不需要重新启动,如果发现配置未生效,可能为LDAP的用户组的属性不对,请检查LDAP的属性

3、我配置了LDAP对接用户组,用户不通过导入也可以直接登录,但登入之后不属于LDAP中的的用户组对应的JumpServer的用户组,是正确的吗?

这个问题涉及到了一个资产是否安全的问题。

  • 如果某个用户没有在LDAP页面被导入,可能管理员并不想让该用户登录JumpServer。
  • 如果该用户登录之后就存在于JumpServer用户组中,但恰好该用户组中拥有某些资产的权限,此时就会导致本应该没有权限的用户拥有了权限,出现一些安全问题。

4、如果我没有在LDAP配置页面导入某个用户,但是他还是可以直接登录JumpServer界面,应该如何限制?

如果需要限制登录JumpServer的用户只允许已存在于用户列表中的用户登录,可以在配置文件中添加参数。
配置文件:/opt/jumpserver/config/config.txt 中添加AUTH_LDAP_USER_LOGIN_ONLY_IN_USERS=true。
添加之后重新启动就可以啦!

文章目录
其他资源