This is an old revision of the document!
Практические примеры использования Keycloak в качестве корпоративного OpenID сервера
Реклама
Ваши пользователю не любят лишний раз вводить пароли? Помогите им, возьмите на вооружение технологию единого входа, используемую Google и Microsoft, но разверните свой сервер, внутри сети предприятия
Техническое задание
Развернуть корпоративный сервер OpenID
Подключить к серверу OpenID корпоративную базу учетных записей пользователей используя протокол LDAP
Настроить механизм единого входа для нескольких корпоративных web ресурсов (GitLab, Roundcube, BigBlueButton, MinIO )
Настроить механизм единого входа для произвольного Web приложения
Запись вебинара
Методическая подготовка
-
-
gate: debian 12, 8Gb, krb5-user libpam-krb5
-
-
ansible mail apache port 81
-
-
client2 в домен, для доверия сертификатам
-
-
-
-
-
-
добавить до снапшота
Шаг 0. Демонстрация, что такое SSO
gate# tail -f /var/log/squid/access.log
Шаг 1. Создание корпоративного wildcard сертификата
Добавление роли AD CS CA
-
-
-
Копирование запроса на сертификат и сертификата через
WinSCP
-
-
Шаг 2. Развертывание KeyCloak
Добавляем в
DNS keycloak A 192.168.X.14
ifconfig eth0 inet 192.168.X.14
route add default gw 192.168.X.1
cd conf
git pull origin master
sh net_server.sh X keycloak 14
vim /etc/resolv.conf
init 6
Сервис Keycloak, Подключение, Базовая конфигурация, Страница для проверки учетных записей
-
Шаг 3. Аутентификация пользователей GitLab через KeyCloak
Шаг 4. Аутентификация пользователей любого WEB приложения через KeyCloak
Шаг 5. Аутентификация пользователей Roundcube через KeyCloak
-
Добавляем в
DNS webinar A 192.168.X.16
ifconfig eth0 inet 192.168.X.16
route add default gw 192.168.X.1
cd conf
git pull origin master
sh net_server.sh X webinar 16
vim /etc/resolv.conf
init 6
Шаг 7. Аутентификация и авторизация пользователей MinIO через KeyCloak
Добавляем в
DNS minio A 192.168.X.18
ifconfig eth0 inet 192.168.X.18
route add default gw 192.168.X.1
cd conf
git pull origin master
sh net_server.sh X minio 18
vim /etc/resolv.conf
init 6
Сервис MinIO Запуск сервера, подключение через браузер (можно с хост системы), создание и подключение локальной учетной записью пользователя и демонстрация необходимости атрибута policy
Итоги, что получилось, что не удалось, над чем работать
GSSAPI SSO
Kerberos интегрировать с OpenID
Roundcube + Dovecot
Вопросы