898198 大佬有话说 :
如何轻松使用 Azure AD 认证配合 Cloudflare Teams 的 WebSSH
本帖最后由 898198 于 2023-10-31 11:10 编辑
看到一篇好文章,搬运过来
原文:https://loliloli.moe/2021/09/20/cfwebssh/
大致上,这篇文章将会介绍三个主要部分,和一个简单的硬核推广
注意:本教程仅适用大部分 Linux 设备,以及安装有 SSH 功能的 Windows 设备,虽然 Cloudflare Teams 服务提供 50 个成员的免费额度,但是需要绑定一种支付方式到 Cloudflare 才能开启 Cloudflare Teams 服务
主要部分[*]为 Cloudflare Teams 添加 Microsoft Azure AD SSO 登录方法[*]在服务器上面安装 Cloudflare Tunnel 并且配置使用 Cloudflare 渲染 WebSSH[*]设置短期证书进行安全的快速登录
硬核推广[*]良心云近期活动推广
参考文档
Cloudflare Docs:[*]Microsoft Azure AD® · Cloudflare for Teams documentation[*]Render an SSH client in a browser · Cloudflare for Teams documentation[*]Configure short-lived certificates · Cloudflare for Teams documentation
虽上述三篇文档如只需完成目标已经足够了,但是都是英语文档,且存在常见细节补充需求,故旧事重提
为 Cloudflare Teams 添加 Microsoft Azure AD SSO 登录方法
相关链接:[*]Cloudflare for Teams[*]Microsoft Azure AD
准备 Cloudflare Teams
注意:Cloudflare Teams 虽然拥有免费套餐,但是必须在 Cloudflare 绑定一个支付方式,否则无法设置 Cloudflare Teams
打开上述 Cloudflare for Teams 链接,点击登录,将会跳转至熟悉的 Cloudflare 管理界面,此时点击一个域名并且而点击 Acess 即可进入
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919183121.png
这里如果是第一次使用 Access 则会看到如下页面,点击启动 Access 即可
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919183305.png
这时将会跳转到 Cloudflare Teams 页面,此时按照流程完成设置,选择 Settings 并且点击 Authentication
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919190139.png
进入页面后点击位于 Login methods 下的 Add new 且如下图选择 Azure AD 即可(演示使用的 Cloudflare Teams 由于已经添加过验证方法因此已经显示有 Azure AD 选项,此时没有显示应是正常的)
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919183638.png
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919183808.png
选择后可以看到熟悉的填写要求,以及一篇简易的文档
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919183958.png
如上图 Name 对应登陆方式名称, Application ID 对应 Azure AD 中的 应用程序(客户端) ID ,Application secret 对应 客户端密码 ,Directory ID 对应 目录(租户) ID (这里只是稍作对应介绍,下面将描述如何创建 Azure AD 应用)
创建一个 Azure AD 应用程序
进入 Azure AD 后,如下点击应用注册,并且在界面点击 新注册
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919184909.png
进入后界面如下图,写入需要的任意应用名称,且在 重定向 URI 中写入重定向链接(如下)
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919185147.png
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
# 此处 <your-team-name> 为你的 Cloudflare Teams 租户名称
注意:Cloudflare Teams 的租户名称为最初设置的名称,如遗忘或者需要重新设置,点击 Settings 下的 General 即可查看和设置
即如下例即可(请勿直接填写,按照上方所属需求填写方可有效,否则无效)
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919190709.png
填写完毕后,点击注册即可,完成注册后将会看到如下页面,此时需要获取 应用程序(客户端) ID 、目录(租户) ID 以及 客户端密码
如下图框选位置为 应用程序(客户端) ID 以及目录(租户) ID
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919191208.png
选择菜单栏的 证书和密码 并在对应界面点击 新客户端密码
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919191434.png
选择过期时间为 24 个月,并且点击添加(如需设置更长时间,可以自寻方法)
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919191459.png
此时可以看到下图框选区域,为 客户端密码 ,点击复制即可(这里的机密值请妥善保存,且不应泄露,避免额外的意外情况发生,机密值仅在创建时显示,刷新后将被隐藏)
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919191626.png
到此步骤,你应该已经获取到上述需求的三个值了,接下来则需要为该应用添加相应 API 且授予权限
选择菜单栏 API 权限
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919192527.png
点击相关页面 添加权限 再点击 Microsoft Graph 如下图选择 委托的权限 并在搜索框中分别搜索勾选下述权限
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919192900.png
以下为需要寻找并且授予的权限
email
openid
profile
offline_access
User.Read
Directory.Read.All
Group.Read.All
选择完毕后,点击添加权限,确认无误后,点击 代表 You Directory Name 授予管理员同意 (此处 You Directory Name 字面意思,意为你的租户名称)
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919193051.png
注意:此时如果你使用的全局管理员账户完成的应用创建,则该选项为可选状态直接点击即可,若使用非管理员账户进行了应用创建,则请登录管理员账户并且在该页面授予权限
设置 Azure AD 验证方法
上述步骤完成后,接下来回到如下页面,直接写入 Name 、Application ID、 Application secret 及 Directory ID 值
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919193509.png
勾选 Support groups(对于组的支持)并且点击 Save 保存
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919193813.png
注意:这里对于组的支持为对于 Azure AD 组的支持,此操作将会允许获取 Azure AD 组相关信息,需要对于组的读取权限(上述步骤已经添加)
设置 Azure AD 组信息到 Cloudflare Teams
点击 Azure AD 菜单中组选项,在页面中可以看到组名称及对应对象ID获取 Azure AD 组对象ID即可
回到 Cloudflare Teams 如下图选择 Groups 并且点击 Add a Group
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919195040.png
填写名称(按需求填写,可随意填写)选择如下图下拉框底部 Azure Group 选项,并在后面方框中填入上面获取的 Azure 组对象 ID ,确认无误点击 Save 保存即可
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210920082741.png
在服务器上面安装 Cloudflare Tunnel 并且配置使用 Cloudflare 渲染 WebSSH
这里的工作将会分为两部分,一部分在服务器上完成,另一部分在 Cloudflare Teams 完成
安装 Cloudflare Tunnel 完成相关配置并且设置守护进程
898198 大佬有话说 :
这里首先通过 SSH 登录服务器,此时你可以考虑使用如 PuTTY 类似的工具直接登录服务器或者在腾讯云控制台登录(前提是你使用的是腾讯云轻量服务器)下述使用 PuTTY 进行演示
首先依次执行如下指令(即,安装 cloudflared)
yum install epel-release -y
yum repolist
yum install dpkg-devel dpkg-dev -y
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
dpkg -i ./cloudflared-linux-amd64.deb
接下来使用如下指令进行登录,显示如下图cloudflared tunnel login
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919213000.png
复制如上链接到浏览器,选择需要授权的域名进行授权
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919213116.png
完成授权后,显示如下
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919213155.png
接下来需要创建一条隧道用于连接
cloudflared tunnel create <NAME>
# 此处 <NAME> 为你定义的隧道名称
提示如下则,隧道成功创建,这里请记下隧道的 ID 即如下 c2af5c2b-4fd3-4069-b25d-xxxxxxxx049f 部分
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919213606.png
注意:如果忘记隧道 ID,也无需担心,请使用如下指令查看cloudflared tunnel list
接下来,需要为 Cloudflared 设置一个守护进程并且保证其可以开机自动启动
使用如下指令创建一个新的文件,并且写入内容vi /etc/systemd/system/cloudflared.service
需写入 cloudflared.service 的内容
Description=Argo Tunnel
After=network.target
TimeoutStartSec=0
Type=notify
ExecStart=/usr/local/bin/cloudflared –config /root/.cloudflared/config.yml –no-autoupdate tunnel run
Restart=on-failure
RestartSec=5s
WantedBy=multi-user.target
注意:上述 /usr/local/bin/cloudflared 为 Cloudflared 的路径 /root/.cloudflared/config.yml 为配置文件路径,下文将会说明如何设置该配置文件
设置 Cloudflare Teams 相关应用
现在回到 Cloudflare Teams 页面,选择 Applications 并点击 Add an application 进入如下页面
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919215034.png
此时如上选择 Self-hosted 并进入如下页面
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919215158.png[*]Application name: 你的应用名称[*]Session Duration: 会话保存时间[*]Application domain: 应用域名
注意:请务必记清楚 Application domain 后续操作将会继续使用
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919221246.png
此处 Identity providers (身份提供者)选择 Azure AD 因为只有一种验证方法,因此 Instant Auth 勾上,便于直接验证跳转
点击 Next 进入如下页面,此处 Rule name 填写规则名称(可以按照需求填写)
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919221728.png
接下来下一个页面中,如下 Access-Control-Max-Age (seconds) 填写需求的合适值即可,勾选 Access-Control-Allow-Origin 、Access-Control-Allow-Methods
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919222038.png
注意:上述 Access-Control-Allow-Origin 和 Access-Control-Allow-Methods 必须勾选,否则无法成功创建
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919222419.png
如上图,勾选 Cookie settings 下的 Enable Binding Cookie 以及 Cloudflared settings 下的 Enable automatic cloudflared authentication 并将 Browser rendering 选择为 SSH
修改 Cloudflared 配置文件并且启动隧道
首先使用如下指令创建配置文件vi /root/.cloudflared/config.yml
填写如下内容(注意按照自身需求填写)
tunnel: <you-tunnel-id>
credentials-file: /root/.cloudflared/<you-tunnel-id>.json
ingress:
– hostname: <Application domain>
service: ssh://localhost:<sshd-port>
– service: http_status:404
注意:这里的 you-tunnel-id 为你的隧道 ID ,Application domain 为你设置的域名 sshd-port 为你的 SSH 服务端口
填写效果如下例
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919223401.png
附加步骤(如果使用 CNAME 将域名接入 Cloudflare 则需要进行)
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919223735.png
添加一条 CNAME 解析记录,格式如下<Application domain> CNAME <you-tunnel-id>.cfargotunnel.com
注意:上例使用的 CFP 面板为梦牛,这里必须注意,完成设置后务必前往 Cloudflare 检查 WebSocket 是否开启,因为梦牛有概率关闭 WebSocket 选项,而此教程所示功能需要基于 WebSocket 运行
启动隧道并且测试效果
systemctl start cloudflared
systemctl status cloudflared
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919224901.png
执行上述指令,内容类似于图中情况,则可以打开浏览器访问你所设置的域名并且尝试登录服务器了
通过访问域名可以看到如下效果即可以确定运行正常且配置无误
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919225410.png
这时方可设置隧道开机自动启动了,指令如下systemctl enable cloudflared
设置短期证书进行安全的快速登录
得到上述结果后,可以看到,通过进行登录便可以直接访问服务器了,不过此时可以更进一步即,使用短期证书进行登录
如果需要配置短期证书,则需要注意下述几点[*]登录时的 Username 必须和 Email 前缀相同[*]不建议也也不提倡使用 root 账户直接进行登录[*]服务器必须开启允许公钥登录(下面会进行相关操作)
首先回到 Cloudflare Teams 并且选择 Access 下的 Service Auth 在 Application 下拉框中选择自己的应用程序,并且点击 Generate certificate 即可获得一个 Public key 如下图
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919230253.png
复制 Public key 在终端中使用如下指令并且写入 Public keyvi /etc/ssh/ca.pub
接下来修改 SSH 配置文件vi /etc/ssh/sshd_config
首先删除 PubkeyAuthentication yes 的注释随后在另一行添加 TrustedUserCAKeys /etc/ssh/ca.pub 完成添加后,保存退出,使用如下指令重启 sshd 服务systemctl restart sshd
完成后添加一个和你的邮箱前缀相同名称的用户即可,指令如下adduser <username>
如,我的邮箱为 [email protected] 则应添加 romeyer 用户
此时再次登录 WebSSH 则会发现,登录便可以直接进入终端了,效果如下
https://cdn.loliloli.net/gh/RomEYer-AwELF/CDNimg/img/20210919231152.png
史蒂夫乔布斯 大佬有话说 :
这个b字体看着是真的难受
Hetzner 大佬有话说 :
核心思想就是利用cf零信任隧道搭建一个cloudflared提前在浏览器渲染好的ssh终端,其实零信任官方教程就有…