如果您目前正在使用Azure AD(Azure Active Directory,以下简称 AAD)域服务,您想把AAD用户导入阿里云堡垒机,实现AAD用户使用堡垒机运维服务器,您可以通过配置AAD域服务的安全LDAP账号,然后使用堡垒机人员管理的导入LDAP用户功能导入AAD用户。本文介绍如何将AAD用户导入阿里云堡垒机。

前提条件

在使用本教程前,您需要在Azure门户上依次完成如下配置:

  • 部署AAD服务并创建AAD账户。具体操作,请参见Microsoft Build网站上的创建域托管文档。
  • 启用LDAP服务并设置用户角色。具体操作,请参见Microsoft Build网站上的配置安全LDAP文档。
注意 新创建的AAD账号是未激活状态,您需要使用新创建的AAD账号ID登录Azure门户,控制台将提示您重置密码,在您完成密码重置并登录后,才可使用该账号,否则将无法通过阿里云堡垒机的身份验证。

背景信息

AAD域服务是一种特殊的AD域服务,不支持直接与堡垒机进行用户数据对接。要实现对接就需要启用AAD域服务的安全LDAP,再使用堡垒机人员管理的导入LDAP用户功能,将AAD用户导入到堡垒机。导入后,AAD用户就可以使用堡垒机运维服务器。

示意图

步骤一:堡垒机连接AAD域服务的安全LDAP

  1. 登录云盾堡垒机控制台
  2. 在左侧导航栏中,单击系统设置
  3. 系统设置界面,单击LDAP认证页签。
  4. LDAP认证页签下,配置LDAP认证信息。连接LDAP

    配置项说明如下表:

    配置项 说明
    服务器地址 要连接的AAD域服务器的IP地址。
    说明 此处需输入安全LDAP服务的外部IP。您可以在Azure控制台中获取安全LDAP的外部IP。
    端口 要连接的AAD域服务器的端口。输入固定端口号: 636
    说明 此处需输入安全LDAP服务的端口号。该端口您是在Azure门户启用通过Internet对托管域进行安全LDAP访问时,设置的入站安全规则中的TCP端口,端口号为636
    Base DN 要连接的AAD域服务器的Base DN。
    账号 要连接的AAD域服务器的账号。
    密码 要连接的AAD域服务器的密码。
  5. 单击测试连接
  6. 等待连接成功后,单击更新

步骤二:导入LDAP用户并配置授权关系

  1. 登录云盾堡垒机控制台
  2. 左侧导航栏中,选择人员管理 > 用户
  3. 用户页面,单击导入其他来源用户,在出现的下拉列表中选择导入LDAP用户
    导入
  4. 选中需要导入的LDAP用户,单击右侧导入按钮。
    导入LDAP
  5. 将主机导入堡垒机的资产中。
    具体操作,请参见新建主机
  6. 为已通过LDAP导入的ADD用户授权主机。
    具体操作,请参见按用户授权主机
  7. 运维测试。请通过RDP协议或者SSH协议来测试使用ADD用户运维主机的操作。
    具体操作,请参见RDP协议运维SSH协议运维