Практические примеры использования Keycloak в качестве корпоративного OpenID сервера

• Ваши пользователю не любят лишний раз вводить пароли? Помогите им, возьмите на вооружение технологию единого входа, используемую Google и Microsoft, но разверните свой сервер, внутри сети предприятия

• Развернуть корпоративный сервер OpenID
• Подключить к серверу OpenID корпоративную базу учетных записей пользователей используя протокол LDAP
• Настроить механизм единого входа для нескольких корпоративных web ресурсов (GitLab, Roundcube, BigBlueButton, MinIO )
• Настроить механизм единого входа для произвольного Web приложения

• https://youtu.be/ykWLHQ2i_8E

• Пройдено 2 модуля курса Замена корпоративных решений Microsoft (развернута инфраструктура предприятия с MS AD)

• Chrome на client2 и демонстрация roundcube

gate# tail -f /var/log/squid/access.log

wincient2> klist

http://gate.corp13.un:81/mail

http://gate.corp13.un/

• Запускаем импорт keycloak.corpX.un, webinar.corpX.un

• Добавление роли AD CS CA
• Настройка атрибутов организации в конфигурации ssl
• Добавление расширений в запрос на сертификат
• Создание сертификата сервиса, подписанного CA
• Копирование запроса на сертификат и сертификата через WinSCP
• Windows CA для Linux сервисов
• Экспорт корневого сертификата AD и конвертация его в PEM формат

• Добавляем в DNS keycloak A 192.168.X.14

ifconfig eth0 inet 192.168.X.14

route add default gw 192.168.X.1

cd conf

git pull origin master

sh net_server.sh X keycloak 14

vim /etc/resolv.conf

hostname `cat /etc/hostname`

• Сервис Keycloak, Подключение, Базовая конфигурация, Страница для проверки учетных записей
• Keycloak LDAP Active Directory

• Аутентификация пользователей WEB приложения (any-client) в Keycloak

• GitLab Включение TLS
• GitLab Клиент OpenID

• Apache port 80
• CGI интерфейс сервера
• Управление доступом к HTTP серверу с использованием OpenID аутентификации

• Roundcube OpenID аутентификация

• Системные требования (добавить HDD 50Gb)
• Добавляем в DNS webinar A 192.168.X.16

ifconfig eth0 inet 192.168.X.16

route add default gw 192.168.X.1

cd conf

git pull origin master

sh net_server.sh X webinar 16

vim /etc/resolv.conf

hostname `cat /etc/hostname`

• Расширение существующего логического тома
• Сервис BBB

• Запускаем импорт minio.corpX.un
• Добавляем в DNS minio A 192.168.X.18

ifconfig eth0 inet 192.168.X.18

route add default gw 192.168.X.1

cd conf

git pull origin master

sh net_server.sh X minio 18

vim /etc/resolv.conf

hostname `cat /etc/hostname`

• Сервис MinIO Запуск сервера, подключение через браузер (можно с хост системы), создание и подключение локальной учетной записью пользователя и демонстрация необходимости атрибута policy

• Сервис MinIO Интеграция с Keycloak

https://keycloak.corp13.un/realms/corp13/account/

http://gate.corp13.un/cgi-bin/test-cgi/

http://gate.corp13.un/mail

https://gate.corp13.un

https://webinar.corp13.un

http://minio.corp13.un:9000

• Keycloak MS AD LDAPS
• GSSAPI SSO Kerberos интегрировать с OpenID