云桥配置

云桥Agent作为一座“桥梁”，在企业内部服务和云上OneAccess之间建立了一条网络 安全隧道，可以避免企业的内部服务直接暴露在公网上，从而有效的保护网络实体免 受窃听和重复攻击等。

目前，云桥Agent支持AD身份源和认证源，本节主要介绍AD通过云桥Agent连接 OneAccess的方法。

前提条件

请确保您已拥有部署云桥Agent的能力。

操作步骤

步骤1 部署AD服务并创建域账号，建立企业自己的管理系统。具体可参考：搭建AD服务器 和创建域账号。

步骤2 添加云桥Agent。

1. 登录OneAccess管理门户。

2. 在导航栏中，选择“设置 > 云桥配置 ”。

3. 在云桥配置页面，单击“添加云桥Agent”，设置名称并选择云桥Agent类型，单 击“确定”。至此，云桥Agent添加完成。云桥Agent类型支持认证源类型和身份 源类型，请按需选择。

说明

– 云桥Agent添加完成后，系统会自动生成ClientID和ClientSecret，请妥善保管。

– 如不慎忘记ClientSecret，单击目标Agent的“重置秘钥”即可重新生成。重置后，原 密钥将会失效，请谨慎操作。

– 单击“查看日志”，可以查看连接日志。

– 单击“删除”，可删除目标Agent，请谨慎删除。

步骤3 部署云桥Agent，部署成功以后，在管理门户的云桥配置中查看云桥Agent状态，会显 示“在线”状态。

图2-154 查看云桥 Agent 状态

以下分别介绍部署云桥Agent身份源、认证源的方法。

● 以CentOS Linux release 8.2.2004 部署云桥Agent身份源为例

a. 请按照实例所在区域，下载Agent身份源的部署包：华东-上海一、华北-北京 四。

b. 将其上传至目标服务器。

c. 执行 unzip -od {文件解压后的存放地址} cloudAgent.zip 解压部署包。存放 地址必须唯一，否则会导致安装出错。部署包的具体信息可参考表2-32。

表2-32 目录结构

名称 说明

agent.sh 开机自启动Agent的文件。

cloudAgent-identitySource.jar Agent的部署包。

cloudBridge.sh 手动启动Agent的文件。

config Agent配置文件（application.yml）的存放目 录。

connector LDAP连接器的部署包，暂不关注。

encrypt.sh 加密文件，用来加密AD主体账号的密码。

log Agent日志（agent.log）的存放目录。

d. 进入文件解压后的存放地址，配置 config目录下的application.yml文件。每 个属性值前面需要加1个空格。部分参数可参考在OneAccess中添加AD身份 源中的配置参数。

如需对credentials进行加密，请对目录中的 encrypt.sh 执行 ./encrypt.sh setKey命令，提示“please enter the encryption key：”，输入密钥后回 车，提示“the encryption key setting succeeds”，代表密钥设置成功。设 置成功的密钥会保存在目录 /etc 下的文件 profile 中，可进行查看，如

“export encryptionKey=huaweicloud.com”。继续对目录中的 encrypt.sh 执行 ./encrypt.sh encrypt 命令，提示“please enter what you want to encrypt content：”，输入principal 的密码后回车，即可获取加密后的 credentials，如“{AES_GCM}0000xxxxxx111111”，将其拷贝至 application.yml中即可。

表2-33 配置参数

参数 说明

* serverAddress wss://{需要使用云桥Agent的租户域名}/api/v1/ws

* agentId 添加Agent后，系统自动生成。请参考步骤2。

* agentSecret 添加Agent后，系统自动生成。请参考步骤2。

* host 运行企业AD服务器的主机 IP 地址。

* port 与企业AD服务器进行通信的TCP/IP 端口号。

* principal 进行企业AD服务器验证时使用的标识名。

* credentials principal的密码。

* baseContexts 要同步的帐号所在AD中的树的顶级节点，如

“OU=huaweitest,DC=test,DC=com”。

e. 配置完成后，对目录中的 cloudBridge.sh 文件执行 ./cloudBridge.sh start 进 行启动，提示“Starting Agent Success.”代表启动成功。

说明

▪

请确保当前部署用户拥有部署安装包的相关权限。

▪

如提示“Starting Agent Fail. ”代表启动失败，请排查配置文件。

▪

如需开机自启动，请对目录中的 agent.sh 执行 ./agent.sh install ，提示“The Agent service installed successfully, need to reboot will take effect.”代表安装 成功。

▪

如需卸载Agent，执行./agent.sh uninstall，提示“uninstall Agent Success.”代 表卸载成功。

f. 可以通过目录中的 log/agent.log 文件获取日志信息。

● 以 CentOS Linux release 8.0.1905部署云桥Agent认证源为例

a. 请按照实例所在区域，下载Agent认证源的部署包：华东-上海一、华北-北京 四。

b. 将其上传至目标服务器。

c. 执行 unzip -od {文件解压后的存放地址} cloudAgent.zip 解压部署包。存放 地址必须唯一，否则会导致安装出错。部署包的具体信息可参考表2-34。

表2-34 目录结构

名称 说明

agent.sh 开机自启动云桥Agent的文件。

cloudAgent.jar Agent的部署包。

cloudBridge.sh 手动启动Agent的文件。

config Agent配置文件（application.yml）的存放目录。

log Agent日志（agent.log）的存放目录。

d. 进入文件解压后的存放地址，配置 config目录下的application.yml文件。每 个属性值前面需要加1个空格。

表2-35 配置参数

参数 说明

* serverAddress wss://{需要使用云桥Agent的租户域名}/api/v1/ws

* agentId 添加云桥Agent后，系统自动生成。请参考步骤2。

* agentSecret 添加云桥Agent后，系统自动生成。请参考步骤2。

* urls AD地址。可参考在OneAccess中添加AD认证源中的配 置参数。

* rootDn AD中的节点，会到该节点下认证用户。可参考在 OneAccess中添加AD认证源中的配置参数。

domain 若租户域名包含AD域名，则该参数填写AD域名；若不 包含，则为空。

* searchFilter 查询条件。可参考在OneAccess中添加AD认证源中的 配置参数。

e. 配置完成后，对目录中的 cloudBridge.sh 文件执行 ./cloudBridge.sh start 进 行启动，提示“Starting Agent Success.”代表启动成功。

说明

▪

请确保当前部署用户拥有部署安装包的相关权限。

▪

如提示“Starting Agent Fail. ”代表启动失败，请排查配置文件。

▪

如需开机自启动，请对目录中的 agent.sh 执行 ./agent.sh install ，提示“The Agent service installed successfully, need to reboot will take effect.”代表安装 成功。

▪

如需卸载Agent，执行./agent.sh uninstall，提示“uninstall Agent Success.”代 表卸载成功。

f. 可以通过目录中的 log/agent.log 文件获取日志信息。

步骤4 添加AD身份源、认证源。

● 添加AD身份源

a. 登录OneAccess管理门户。

b. 在导航栏中，选择“用户 > 身份源管理 ”。

c. 在身份源管理页面，单击AD身份源操作列的“添加身份源”，输入“身份源 名称”，单击“确定”。

d. 在AD身份源列表页面，单击目标身份源的“详情”，设置导入配置，选择

“通过云桥Agent连接”并勾选已添加的云桥Agent即可。可勾选的云桥 Agent最多不超过5个。高级配置、对象模型等的配置请参考：在OneAccess 中添加AD身份源。

图2-155 AD 身份源详情

图2-156 设置导入配置

e. 执行同步请参考：验证OneAccess同步企业AD数据。

● 添加AD认证源

a. 登录OneAccess管理门户。

b. 在导航栏中，选择“认证 > 认证源管理 > AD”。

c. 在AD认证源页面，单击右上方“添加认证源”，配置参数。

图2-157 添加 AD 认证源

表2-36 配置参数

参数 说明

* 显示名称 认证源的显示名称，支持自定义。如AD认证。

* 连接方式 选择通过云桥Agent连接。

* 选择云桥

Agent 勾选步骤2中已添加的云桥。最多可勾选5个云桥Agent。

* 关联源属性 AD用户的属性，如sAMAccountName。

* 关联用户属

性 AD在系统中映射的用户唯一文本属性，如用户名。

参数 说明

* 未关联用户 时

登录成功后，如未关联到系统用户，可以根据该配置操 作。

* 更新已存在

属性 AD登录时若关联到了用户，可以通过该选项来确定是否更 新已存在的用户属性值。

如果您需要同时映射其他属性，如name，可以设置“未关联用户时”为“自 动创建用户”，通过“添加映射”完成。可参考：表2-37。

表2-37 映射参数

参数 说明

用户属性

名 AD对接OneAccess的映射属性，可在下拉框选择，如邮箱。

映射类型 OneAccess与AD之间用户属性的映射方式，可在下拉框选 择，如认证源属性。

认证源属 性名

AD用户的属性名称。

d. 可输入“测试账号”和“测试密码”，单击“测试”进行验证连通性。

如果图2-157中，选择云桥Agent勾选了多个，最多不超过5个，单击“测 试”后，系统会逐一进行连通性验证。如果验证失败，会进行提示。

e. 开启AD认证。具体可参考：在OneAccess中开启AD认证。

f. 验证AD认证登录。具体可参考：验证AD认证登录OneAccess用户门户。

----结束

3 ^{普通用户指南}

登录OneAccess并进入应用 设置

在文檔中 设置_应用身份管理服务 OneAccess_用户指南_普通用户指南_华为云 (頁 114-125)