Yoo趣儿

Yoo趣儿 后端服务 服务器 如何轻松使用 Azure AD 认证配合 Cloudflare Teams 的 W ...

如何轻松使用 Azure AD 认证配合 Cloudflare Teams 的 WebSSH

查看 36|回复 1
作者:898198   
   
看到一篇好文章,搬运过来
原文:https://loliloli.moe/2021/09/20/cfwebssh/
大致上,这篇文章将会介绍三个主要部分,和一个简单的硬核推广
注意:本教程仅适用大部分 Linux 设备,以及安装有 SSH 功能的 Windows 设备,虽然 Cloudflare Teams 服务提供 50 个成员的免费额度,但是需要绑定一种支付方式到 Cloudflare 才能开启 Cloudflare Teams 服务
主要部分为 Cloudflare Teams 添加 Microsoft Azure AD SSO 登录方法在服务器上面安装 Cloudflare Tunnel 并且配置使用 Cloudflare 渲染 WebSSH设置短期证书进行安全的快速登录
硬核推广良心云近期活动推广
参考文档
Cloudflare Docs:Microsoft Azure AD® · Cloudflare for Teams documentationRender an SSH client in a browser · Cloudflare for Teams documentationConfigure short-lived certificates · Cloudflare for Teams documentation
虽上述三篇文档如只需完成目标已经足够了,但是都是英语文档,且存在常见细节补充需求,故旧事重提
为 Cloudflare Teams 添加 Microsoft Azure AD SSO 登录方法
相关链接:Cloudflare for TeamsMicrosoft Azure AD
准备 Cloudflare Teams
注意:Cloudflare Teams 虽然拥有免费套餐,但是必须在 Cloudflare 绑定一个支付方式,否则无法设置 Cloudflare Teams
打开上述 Cloudflare for Teams 链接,点击登录,将会跳转至熟悉的 Cloudflare 管理界面,此时点击一个域名并且而点击 Acess 即可进入

这里如果是第一次使用 Access 则会看到如下页面,点击启动 Access 即可

这时将会跳转到 Cloudflare Teams 页面,此时按照流程完成设置,选择 Settings 并且点击 Authentication

进入页面后点击位于 Login methods 下的 Add new 且如下图选择 Azure AD 即可(演示使用的 Cloudflare Teams 由于已经添加过验证方法因此已经显示有 Azure AD 选项,此时没有显示应是正常的)


选择后可以看到熟悉的填写要求,以及一篇简易的文档

如上图[ol]Name[/ol]复制代码对应登陆方式名称,[ol]Application ID[/ol]复制代码对应 Azure AD 中的[ol]应用程序(客户端) ID[/ol]复制代码,[ol]Application secret[/ol]复制代码对应[ol]客户端密码[/ol]复制代码,[ol]Directory ID[/ol]复制代码对应[ol]目录(租户) ID[/ol]复制代码(这里只是稍作对应介绍,下面将描述如何创建 Azure AD 应用)
创建一个 Azure AD 应用程序
进入 Azure AD 后,如下点击应用注册,并且在界面点击 新注册

进入后界面如下图,写入需要的任意应用名称,且在 重定向 URI 中写入重定向链接(如下)

[ol]
   https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback  
   # 此处 <your-team-name> 为你的 Cloudflare Teams 租户名称  [/ol]复制代码[/code]
注意:Cloudflare Teams 的租户名称为最初设置的名称,如遗忘或者需要重新设置,点击 Settings 下的 General 即可查看和设置
即如下例即可(请勿直接填写,按照上方所属需求填写方可有效,否则无效)

填写完毕后,点击注册即可,完成注册后将会看到如下页面,此时需要获取[ol]应用程序(客户端) ID[/ol]复制代码、[ol]目录(租户) ID[/ol]复制代码以及[ol]客户端密码[/ol]复制代码
如下图框选位置为[ol]应用程序(客户端) ID[/ol]复制代码以及[ol]目录(租户) ID[/ol]复制代码

选择菜单栏的 证书和密码 并在对应界面点击 新客户端密码

选择过期时间为 24 个月,并且点击添加(如需设置更长时间,可以自寻方法)

此时可以看到下图框选区域,为[ol]客户端密码[/ol]复制代码,点击复制即可(这里的机密值请妥善保存,且不应泄露,避免额外的意外情况发生,机密值仅在创建时显示,刷新后将被隐藏)

到此步骤,你应该已经获取到上述需求的三个值了,接下来则需要为该应用添加相应 API 且授予权限
选择菜单栏 API 权限

点击相关页面 添加权限 再点击 Microsoft Graph 如下图选择 委托的权限 并在搜索框中分别搜索勾选下述权限

以下为需要寻找并且授予的权限[ol]
   email  
   openid  
   profile  
   offline_access  
   User.Read  
   Directory.Read.All  
   Group.Read.All  [/ol]复制代码[/code]
选择完毕后,点击添加权限,确认无误后,点击 代表 You Directory Name 授予管理员同意 (此处 You Directory Name 字面意思,意为你的租户名称)

注意:此时如果你使用的全局管理员账户完成的应用创建,则该选项为可选状态直接点击即可,若使用非管理员账户进行了应用创建,则请登录管理员账户并且在该页面授予权限
设置 Azure AD 验证方法
上述步骤完成后,接下来回到如下页面,直接写入[ol]Name[/ol]复制代码、[ol]Application ID[/ol]复制代码、[ol]Application secret[/ol]复制代码及[ol]Directory ID[/ol]复制代码值

勾选 Support groups(对于组的支持)并且点击 Save 保存

注意:这里对于组的支持为对于 Azure AD 组的支持,此操作将会允许获取 Azure AD 组相关信息,需要对于组的读取权限(上述步骤已经添加)
设置 Azure AD 组信息到 Cloudflare Teams
点击 Azure AD 菜单中选项,在页面中可以看到组名称及对应对象ID获取 Azure AD 组对象ID即可
回到 Cloudflare Teams 如下图选择 Groups 并且点击 Add a Group

填写名称(按需求填写,可随意填写)选择如下图下拉框底部 Azure Group 选项,并在后面方框中填入上面获取的 Azure 组对象 ID ,确认无误点击 Save 保存即可

在服务器上面安装 Cloudflare Tunnel 并且配置使用 Cloudflare 渲染 WebSSH
这里的工作将会分为两部分,一部分在服务器上完成,另一部分在 Cloudflare Teams 完成
安装 Cloudflare Tunnel 完成相关配置并且设置守护进程

代码, 将会, 租户

相关帖子

898198
OP
  
这里首先通过 SSH 登录服务器,此时你可以考虑使用如 PuTTY 类似的工具直接登录服务器或者在腾讯云控制台登录(前提是你使用的是腾讯云轻量服务器)下述使用 PuTTY 进行演示
首先依次执行如下指令(即,安装 cloudflared)[ol]
   yum install epel-release -y  
   yum repolist  
   yum install dpkg-devel dpkg-dev -y  
   wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb  
   dpkg -i ./cloudflared-linux-amd64.deb  [/ol]复制代码[/code]
接下来使用如下指令进行登录,显示如下图[ol]cloudflared tunnel login
[/ol]复制代码[/code]

复制如上链接到浏览器,选择需要授权的域名进行授权

完成授权后,显示如下

接下来需要创建一条隧道用于连接[ol]
   cloudflared tunnel create <NAME>  
   # 此处 <NAME> 为你定义的隧道名称  [/ol]复制代码[/code]
提示如下则,隧道成功创建,这里请记下隧道的 ID 即如下[ol]c2af5c2b-4fd3-4069-b25d-xxxxxxxx049f[/ol]复制代码部分

注意:如果忘记隧道 ID,也无需担心,请使用如下指令查看[ol]cloudflared tunnel list
[/ol]复制代码[/code]
接下来,需要为 Cloudflared 设置一个守护进程并且保证其可以开机自动启动
使用如下指令创建一个新的文件,并且写入内容[ol]vi /etc/systemd/system/cloudflared.service
[/ol]复制代码[/code]
需写入[ol]cloudflared.service[/ol]复制代码的内容[ol]
   [Unit]  
   Description=Argo Tunnel  
   After=network.target  
     
   [Service]  
   TimeoutStartSec=0  
   Type=notify  
   ExecStart=/usr/local/bin/cloudflared --config /root/.cloudflared/config.yml --no-autoupdate tunnel run  
   Restart=on-failure  
   RestartSec=5s  
     
   [Install]  
   WantedBy=multi-user.target  [/ol]复制代码[/code]
注意:上述[ol]/usr/local/bin/cloudflared[/ol]复制代码为 Cloudflared 的路径[ol]/root/.cloudflared/config.yml[/ol]复制代码为配置文件路径,下文将会说明如何设置该配置文件
设置 Cloudflare Teams 相关应用
现在回到 Cloudflare Teams 页面,选择 Applications 并点击 Add an application 进入如下页面

此时如上选择 Self-hosted 并进入如下页面

Application name: 你的应用名称Session Duration: 会话保存时间Application domain: 应用域名
注意:请务必记清楚 Application domain 后续操作将会继续使用

此处 Identity providers (身份提供者)选择 Azure AD 因为只有一种验证方法,因此 Instant Auth 勾上,便于直接验证跳转
点击 Next 进入如下页面,此处 Rule name 填写规则名称(可以按照需求填写)

接下来下一个页面中,如下 Access-Control-Max-Age (seconds) 填写需求的合适值即可,勾选 Access-Control-Allow-OriginAccess-Control-Allow-Methods

注意:上述 Access-Control-Allow-Origin 和 Access-Control-Allow-Methods 必须勾选,否则无法成功创建

如上图,勾选 Cookie settings 下的 Enable Binding Cookie 以及 Cloudflared settings 下的 Enable automatic cloudflared authentication 并将 Browser rendering 选择为 SSH
修改 Cloudflared 配置文件并且启动隧道
首先使用如下指令创建配置文件[ol]vi /root/.cloudflared/config.yml
[/ol]复制代码[/code]
填写如下内容(注意按照自身需求填写)[ol]
   tunnel: <you-tunnel-id>  
   credentials-file: /root/.cloudflared/<you-tunnel-id>.json  
      
   ingress:  
     - hostname: <Application domain>  
       service: ssh://localhost:<sshd-port>  
     - service: http_status:404  [/ol]复制代码[/code]
注意:这里的[ol]you-tunnel-id[/ol]复制代码为你的隧道 ID ,[ol]Application domain[/ol]复制代码为你设置的域名[ol]sshd-port[/ol]复制代码为你的 SSH 服务端口
填写效果如下例

附加步骤(如果使用 CNAME 将域名接入 Cloudflare 则需要进行)

添加一条 CNAME 解析记录,格式如下[ol]<Application domain> CNAME <you-tunnel-id>.cfargotunnel.com
[/ol]复制代码[/code]
注意:上例使用的 CFP 面板为梦牛,这里必须注意,完成设置后务必前往 Cloudflare 检查 WebSocket 是否开启,因为梦牛有概率关闭 WebSocket 选项,而此教程所示功能需要基于 WebSocket 运行
启动隧道并且测试效果[ol]
   systemctl start cloudflared  
   systemctl status cloudflared  [/ol]复制代码[/code]

执行上述指令,内容类似于图中情况,则可以打开浏览器访问你所设置的域名并且尝试登录服务器了
通过访问域名可以看到如下效果即可以确定运行正常且配置无误

这时方可设置隧道开机自动启动了,指令如下[ol]systemctl enable cloudflared
[/ol]复制代码[/code]
设置短期证书进行安全的快速登录
得到上述结果后,可以看到,通过进行登录便可以直接访问服务器了,不过此时可以更进一步即,使用短期证书进行登录
如果需要配置短期证书,则需要注意下述几点登录时的 Username 必须和 Email 前缀相同不建议也也不提倡使用 root 账户直接进行登录服务器必须开启允许公钥登录(下面会进行相关操作)
首先回到 Cloudflare Teams 并且选择 Access 下的 Service AuthApplication 下拉框中选择自己的应用程序,并且点击 Generate certificate 即可获得一个 Public key 如下图

复制 Public key 在终端中使用如下指令并且写入 Public key[ol]vi /etc/ssh/ca.pub
[/ol]复制代码[/code]
接下来修改 SSH 配置文件[ol]vi /etc/ssh/sshd_config
[/ol]复制代码[/code]
首先删除[ol]PubkeyAuthentication yes[/ol]复制代码的注释随后在另一行添加[ol]TrustedUserCAKeys /etc/ssh/ca.pub[/ol]复制代码完成添加后,保存退出,使用如下指令重启 sshd 服务[ol]systemctl restart sshd
[/ol]复制代码[/code]
完成后添加一个和你的邮箱前缀相同名称的用户即可,指令如下[ol]adduser <username>
[/ol]复制代码[/code]
如,我的邮箱为[ol][email protected][/ol]复制代码则应添加[ol]romeyer[/ol]复制代码用户
此时再次登录 WebSSH 则会发现,登录便可以直接进入终端了,效果如下
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2024-11-10 17:14 , Processed in 0.012241 second(s), 5 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部