JumpServer V3堡垒机实现SAML2认证

已于 2023-04-17 13:23:55 修改
阅读量525 收藏
点赞数 3
文章标签: 运维
于 2023-04-13 16:30:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangLaoBi/article/details/130127204
版权

一 、概要

Keycloak 是适用于现在应用程序和服务的开源身份和访问管理的解决方案。Keycloak 提供用户联合、强身份认证、用户管理及细粒度权限管理等功能,以求客户在最小的成本下向应用程序和服务添加身份验证等功能。

(1) OIDC

    OIDC(OpenID Connect)在OAuth 2.0上构建了一个身份层,是一个基于OAuth 2.0协议的身份认证标准协议。OIDC使用OAuth 2.0的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,且可以适用于各种类型的客户端(例如服务端应用、移动APP、JavaScript 应用),且完全兼容OAuth 2.0协议。

(2)SAML

SAML(Security Assertion Markup Language)是一种用于安全性断言的标记语言,目前的最新版本是2.0,是Web浏览器用来通过安全令牌启用单点登录(SSO)的标准协议。

(3)OIDC协议与SAML 2.0协议之间的相同点与不同点:

协议相同点不同点

OIDC

都是实现单点登录的认证协议;

都是目前安全且成熟的技术标准;

都依赖具有标准重定向功能的软件实现跳转(浏览器)。

以JSON格式传输用户数据;

2007年最终确定并发布(来自维基百科);

相对轻量级;

通过断言验证用户。

SAML2.0

2005年被批准为OASIS标准协议(来自维基百科);

以XML格式传输用户数据;

相对重量级;

通过JWT令牌进行验证,支持去中心化身份验证。

概要引用出处: 操作指南|JumpServer与Keycloak集成对接 - 技术博客 – FIT2CLOUD 飞致云

二 、准备部署好KeyCloak.

(1)keycloak的官网地址:KeycloakKeycloak is an open source identity and access management solutionhttps://www.keycloak.org/

(2)部署有几种方式,我是用的是docker部署,官方也是推荐docker部署,我的版本为21.0.2

执行这条命令

docker run -p 8080:8080 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:21.0.2 start-dev

执行完之后,登录IP地址访问 https://ip:8080

默认管理员账号密码是 admin  admin

三、在机器中执行以下命令

openssl genrsa -out server.key 2048 # 这个生成的是私钥

openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3" # 这个是证书

把生成的私钥和证书,保存下来。

四、登录JumpServer ,在认证设置中,选择SAML2。

将刚刚保存的私钥以及证书,分别上传到SP秘钥和SP证书中。点击下方提交后查看。

 右击另存为,命名随便,我命名为1.xml,文件等会会用到。

五、配置keycloak

(1)点击左侧创建Create Realm,命名为JumpServer-SAML2

 

(2)按照图示,新建一个 client,在这边选择导入,把刚刚保存的1.xml文件导入进来。

 (3)导入完成之后点击我们刚开始创建的realm。

在Settings中设置Client ID,点击save。 

 (4)根据图示,以此设置 

 

 (5) 根据图示,创建一个新的Mappers。

 

注意这两个的映射关系。

(6)根据图示创建用户

 此时创建的用户名(Username)以及密码,是登录jumpserver所用到的账号及密码。 我设置的账号jms  密码123456

 

 (7)点击左侧的Realm settings,点击红色框查看。

 

(8)将上述地址栏信息填入到 JumpServer SAML认证中。

 六、点击登录JumpServer,选择登录方式为SAML

 显示登录成功。

JiangLanQing
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pysaml2:SAML2的Python实现
05-12
PySAML2-Python中的SAML2 版本: 看到 说明文件: PySAML2是SAML版本2标准的纯python实现。 它包含构建SAML2服务提供者或身份提供者的所有必要步骤。 该发行版包含这两个示例。 最初是为了在WSGI环境中工作而编写的,有一些扩展使您可以将其与其他框架一起使用。 安装 您可以使用pip install pysaml2安装 测验 PySAML2使用框架进行测试。 要在系统的python版本上运行测试,请执行以下操作: 创建并激活一个 在内部,安装测试pip install -r tests/test-requirements.txt所需的依赖项 运行测试py.test tests 要在多个python环境中运行测试,可以将与使用。 请贡献! 要提供帮助,您可以: 测试并报告任何错误或其他困难。 实现缺少的功能。 编写更多的单元测试。
SAML2完整规范
03-14
SAML2.0资料,轻松实现SSO
操作指南|JumpServer堡垒支持通过Passkey进行登录认证
FIT2CLOUD飞致云的博客
11-17 273
有效保障用户的账户密码安全。
文件上传入门
adxj46627377的博客
05-18 200
一、文件上传入门 1. 应用: 用户上传头像、上传图片、邮件上传附件等 2. 页面表单的实现 文件上传表单和普通表单有两个区别 1) 需要文件上传字段 <input type=”file” /> 2) form 表单的 enctype 属性需要指定为 multipart/form-data 3. 服务器端解析request ...
Jumpserver开启MFA认证,SecureCRT自动输入登录
最新发布
筱long的博客
11-22 866
Jumpserver开启MFA认证,SecureCRT自动输入登录
Jumpserver堡垒部署(完整过程)
S314118142的博客
09-01 6817
堡垒是从跳板的概念演变过来的,跳板及没有实现对运维人员操作行为的控制和审计,使用跳板过程中还是会有误操作、违规操作导致的此操作事故、一旦出现操作事故很难快速定位原因和责任人。人们逐渐认识到跳板的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性产品 ### 2.1堡垒的作用 1.核心系统运维和安全审计管理 2.过滤和拦截非法请求访问,恶意攻击
SAML2.0 证书
IceSword
08-05 5298
SAML metadata中的证书SAML协议通信双方使用公钥加密来保证传输数据的安全。可信实体包含公钥的证书会以X.509证书格式发布在metadata中,而对应的私钥则安全保存在本地。这些密钥被用于消息层面的签名和加密,而SAML消息在传输过程中由TLS协议来进行安全交换。 这些密钥不能用于浏览器在443端口上建立TLS握手,由Key Usage进行约束 InCommon Federatio
JumpServer堡垒对接完成单点登录系统(SAML2,Openid)如何用命令行登陆?
qq_46102768的博客
04-23 1088
最近在使用JumpServer当中遇到一个问题, 在完成对接一些单点登录系统认证后,正常使用效果还是非常不错的,因为公司内部使用的Okta进行的SAML2的认证,也是一次就对接成功了。这样的话,就可以使用命令行CLI的方式进行登陆了,不过需要注意的是,这种临时密码的方式,他使用一次他的密码就会过期,或者生成密码五分钟后就会失效。网页客户端的效果也都是正常的,但是目前公司内部有一些人员呢他们不想使用,网页客户端登陆,想要使用直接在本地客户端工具直接连接到堡垒
四、JumpServer堡垒多因子MFA认证使用
SpringLei
09-07 6042
等保要求服务器登录需启用多因子MFA认证,使用多重认证方式保证服务器系统安全。本文介绍生产环境jumpserver如何使用MFA认证
Jumpserver配置MFA认证
平庸
07-14 5624
简简单单,Jumpserver配置MFA
Jumpserver部署+Ldap认证
haodayizhizhuzhu的博客
02-17 886
jumpser使用ldap验证
jumpserver-v2.0.2.tar.gz
07-15
堡垒,也叫做运维安全审计系统,它的核心功能是 4A: 身份验证 Authentication 账号管理 Account 授权控制 Authorization 安全审计 Audit
使用keycloak配置单点登录
06-07
使用开源keycloak配置单点登录,对接zabbix、jumpserver等平台
saml2:SimpleSAMLphp低级SAML2 PHP库
02-03
SimpleSAMLphp SAML2库 用于SAML2相关功能PHP库。...用法使用安装,在项目中运行以下命令: composer require simplesamlphp/saml2:^4.0 通过扩展和实现\SimpleSAML\SAML2\Compat\AbstractContainer然后将其注入Contai
djangosaml2:基于pySAML2的Django SAML2服务提供程序
04-05
Djangosaml2通过SAML2 SSO身份验证来保护您的项目,它将与您的身份提供者进行SAML2对话,从而允许您使用此身份验证制。 本文档将指导您通过一些简单的步骤来实现该目标。 请开始的。 贡献 请打开“问题”以开始...
saml2test:用于测试 SAML2 实现安装的工具
07-07
SAML2test - 用于测试 SAML2 和配置文件合规性的工具 作者: 罗兰·赫德伯格 版本: 0.3.0 SAML2test 是一种测试工具,允许对 SAML2 实体的特定实例进行独立验证。 它不仅会测试实例是否根据 SAML2 标准工作,还...
django-saml2-auth:简化Django SAML2身份验证。 轻松与Okta等SAML2 SSO身份提供商集成
02-05
django-saml2-auth:简化Django SAML2身份验证。 轻松与Okta等SAML2 SSO身份提供商集成
saml:SAML的简单,安全,可插入的Golang实现
04-25
萨姆 该软件包是 (通常称为“ SAML”)的Golang实现。 该软件包具有以下特点: 一个非常简单的界面,易于集成。 许多Golang实现都为您提供了大量可以使用的功能和类型,但尚不清楚您打算做什么。 该软件包仅提供两...
JumpServer 整合ldap认证
友人A的博客
01-29 4520
前提: ldap服务器已经安装:OpenLDAP安装部署 一、JumpServer安装 官网安装地址安装部署 - JumpServer 文档 1、一键部署 #默认会安装到 /opt/jumpserver-installer-v2.18.1 目录 curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.18.1/quick_start.sh | bash 2、安装完成验证 安装完成后配置文件 /opt
node 实现 saml中的idp
06-10
实现 SAML 中的 Identity Provider (IdP),你可以使用 Node.js 并结合一些 SAML 库来完成。以下是一些可供参考的库: - [passport-saml](https://github.com/node-saml/passport-saml): 一个用于 Passport 的 SAML 库,支持 IdP 和 SP 的单点登录 (SSO)。 - [samlify](https://github.com/auth2factor/samlify): 一个支持 SAML 2.0 和 1.1 的库,可以用于构建 IdP 和 SP,支持多种 IdP 的配置选项。 - [saml-idp](https://github.com/bergie/saml-idp): 一个基于 Express 的库,用于快速创建 SAML 2.0 IdP。 下面是一个使用 `samlify` 库创建 SAML 2.0 IdP 的示例代码: ```javascript const express = require('express'); const { createIdp } = require('samlify'); const app = express(); // 创建 SAML 2.0 IdP const idp = createIdp({ entityID: 'https://your-idp.com/metadata', privateKey: 'your-private-key', privateKeyPass: 'your-private-key-password', certificate: 'your-certificate', loginEndpoint: '/login', logoutEndpoint: '/logout', bindings: { redirect: 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect', post: 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST', }, nameIDFormat: 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified', }); // 添加路由 app.get('/login', (req, res) => { // 创建 SAML 2.0 登录请求 const request = idp.createLoginRequest({ relayState: 'your-relay-state', destination: 'https://your-sp.com/login', }); // 跳转到 SP 的登录页面 res.redirect(request.context.destination); }); app.post('/logout', (req, res) => { // 创建 SAML 2.0 登出请求 const request = idp.createLogoutRequest({ relayState: 'your-relay-state', destination: 'https://your-sp.com/logout', }); // 跳转到 SP 的登出页面 res.redirect(request.context.destination); }); app.listen(3000, () => { console.log('SAML 2.0 IdP is running on port 3000'); }); ``` 在上述代码中,我们使用 `createIdp` 函数来创建一个 SAML 2.0 IdP,指定了一些必要的参数,例如实体 ID、私钥、证书、绑定方式等。然后添加了两个路由,用于处理登录和登出请求。在路由处理函数中,我们分别创建了 SAML 2.0 登录和登出请求,并跳转到 SP 的对应页面。 需要注意的是,这里的示例代码只提供了最基本的实现方式,实际上还需要根据具体情况进行调整和优化。同时,还需要根据不同的 SAML 库和实现方式来进行相应的配置和操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值