Pelajari cara mengintegrasikan Alibaba Cloud Bastion Host dalam Azure AD melalui Layanan LDAP Azure AD Domain.
Bastionhost adalah instance yang membangun dan mengelola akses kontrol, mengaudit keamanan, dan otentikasi akses untuk masuk ke jaringan pribadi dari jaringan eksternal seperti Internet. Produk ini sangat diperlukan selama periode COVID-19 ketika sebagian besar dari tim IT / teknologi bekerja dari rumah. Perusahaan yang tidak menggunakan VPN adalah pihak yang sangat membutuhkan ini. Bastionhost membantu para ahli di bidang keamanan IT untuk memusatkan pengelolaan semua akses server cloud dari jaringan eksternal dan menyediakan koneksi aman ke sumber daya VPC. Bastionhost mendukung hingga 5.000 server cloud.
Tulisan kali ini akan menunjukkan tentang bagaimana cara mengintegrasikan Alibaba Cloud Bastion Host dalam Azure AD melalui Layanan LDAP Azure AD Domain. Setelah konfigurasi, penggunanya akan mampu mengimpor Azure AD LDAP to Alibaba Cloud Bastion Host dan mengakses ECS di Alibaba Cloud.
Silakan lihat solution architect di bawah ini:
Ini adalah langkah yang perlu dilakukan untuk integrasi Bastionhost dan Azure AD:
-
Log on ke konsol Azure, buat sebuah Azure Active Directory atau gunakan AD tenant yang sudah ada.
- Buat Layanan Domain Azure AD. Azure Active Directory Domain Services (AD DS) menyediakan domain service terkelola seperti gabungan domain, kebijakan grup, lightweight directory access protocol (LDAP), dan otentikasi Kerberos / NTLM. Anda dapat menggunakan layanan domain ini tanpa perlu menyebarkan, mengelola, dan menambal domain controllers (DC) dalam cloud.
- Anda juga perlu membuat resource group untuk mengelola keamanan resource Anda, dan untuk memastikan nama domain DNS sama dengan url penyewa AD Anda.
- Di bawah Networking, pilih network yang tersedia, atau buat yang baru.
- Anda akan membutuhkan selang waktu (sekitar 30menit) agar Domain services dapat dipindahkan.
- Setelah domain services sudah aktif, buka LDAP.
- Aktifkan Secure LDAP. Anda perlu mengupload secure LDAP certs di sini. Untuk menghasilkan certs, Anda dapat mengikuti langkah-langkah berikut: https://docs.microsoft.com/en-gb/azure/active-directory-domain-services/tutorial-configure-ldaps
- Setelah Secure LDAP diaktifkan, Anda akan diminta untuk mengaktifkan inbound security di security group. Harap lakukan di laman security group inbound security rules. Pastikan port 636 diaktifkan. Harap perhatikan bahwa aturan baru akan membutuhkan waktu beberapa saat untuk diterapkan.
- Untuk mencoba domain service, buka properti domain service, temukan IP eksternal secure LDAP, dan telnet dari komputer Anda (dengan port 636). Seharusnya tidak ada Anda kesalahan apa pun setelah terhubung.
- Selanjutnya, buatlah akun service (admin) untuk secure LDAP.
- Tetapkan akun service dengan peran yang sesuai.
- Harap dicatat bahwa akun yang dibuat tidak diaktifkan. Anda harus masuk ke Azure menggunakan ID akun yang baru dibuat. Konsol akan meminta Anda untuk mengatur ulang kata sandi. Setelah masuk, akun siap digunakan. Langkah ini tidak ada dalam panduan pengguna Azure, seringkali orang melewatkan langkah ini dan tidak dapat mengautentikasi dari Alibaba Cloud Bastion Host.
- Sekarang Anda dapat mengunjungi konsol Bastion Host di Alibaba Cloud.
- Sambungkan ke Azure Domain Service Secure LDAP di System setting, LDAP Authentication. Harap dicatat bahwa Alamat Server adalah IP eksternal LDAP aman yang ditemukan di konsol Azure, Base DN dan Akun bergantung pada nama domain Anda dari layanan Domain Anda.
- Tekan Test Connection, lalu Update jika koneksi sukses. Lalu, kembali ke Azure dan buatlah akun untuk mencoba. Sekali lagi, Anda harus mengaktifkan akun dengan masuk ke Azure.
- Setelah selesai, Anda dapat mengirimkan akun percobaan Anda dari konsol Bastion Host.
- Untuk mencoba, tambahkan sebuah host pada aset Bastion Host.
- Sekarang Anda dapat RDP / SSH ke URL Bastion Host untuk menguji setup. Harap dicatat bahwa nomor port untuk Bastion Host adalah 63389.
Sekian, terima kasih! Jika ada pertanyaan, silakan tulis di kolom komentar.