This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
практические_примеры_keycloak [2024/02/17 15:11] val [Итоги, что получилось, что не удалось, над чем работать] |
практические_примеры_keycloak [2024/02/20 13:55] (current) val [Запись вебинара] |
||
---|---|---|---|
Line 13: | Line 13: | ||
===== Запись вебинара ===== | ===== Запись вебинара ===== | ||
+ | |||
+ | * [[https://youtu.be/ykWLHQ2i_8E]] | ||
Line 18: | Line 20: | ||
* Пройдено 2 модуля курса [[Замена корпоративных решений Microsoft]] (развернута инфраструктура предприятия с MS AD) | * Пройдено 2 модуля курса [[Замена корпоративных решений Microsoft]] (развернута инфраструктура предприятия с MS AD) | ||
- | * [[PowerShell#Добавление в домен пользователей]] + email | ||
- | * gate: debian 12, 8Gb, krb5-user libpam-krb5 | ||
- | * [[Сервис WINBIND]] | ||
- | * [[Управление учетными записями в Linux#Назначение пользователю домашнего каталога]] | ||
- | * ansible mail apache port 81 | ||
- | * GitLab: [[Инструмент GitLab#Установка из репозитория]] + [[Инструмент GitLab#Использование LDAP]] AD | ||
- | * [[Сервис SSH#WinSCP]] на winserver | ||
- | * client2 в домен, для доверия сертификатам | ||
- | * [[Установка, настройка и запуск пакета SQUID]], [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] и MSIE на client2, настроенный на gate для демонстрации концепции SSO | ||
- | * адресная книга в [[Web интерфейс к почте#Roundcube]] | ||
- | * [[Thunderbird]] | ||
- | * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | ||
- | * [[Файловый сервер SAMBA#Установка]] файлового сервера SAMBA | ||
- | * [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] | ||
- | добавить до снапшота | ||
- | ===== Шаг 0. Демонстрация, что такое SSO ===== | + | ===== Шаг 0. Введение в курс дела ===== |
- | * Параллельно импорт **keycloak.corpX.un, webinar.corpX.un, minio.corpX.un** | + | ==== Демонстрация, что такое SSO ==== |
+ | * [[Chrome]] на client2 и демонстрация roundcube | ||
<code> | <code> | ||
gate# tail -f /var/log/squid/access.log | gate# tail -f /var/log/squid/access.log | ||
+ | |||
+ | wincient2> klist | ||
</code> | </code> | ||
- | * [[Chrome]] на client2 и демонстрация roundcube http://gate.corp13.un:81/ и gitlab http://gate.corp13.un/ | + | ==== Обзор веб ресурсов ==== |
+ | |||
+ | <code> | ||
+ | http://gate.corp13.un:81/mail | ||
+ | |||
+ | http://gate.corp13.un/ | ||
+ | </code> | ||
===== Шаг 1. Создание корпоративного wildcard сертификата ===== | ===== Шаг 1. Создание корпоративного wildcard сертификата ===== | ||
+ | |||
+ | * Запускаем импорт **keycloak.corpX.un, webinar.corpX.un** | ||
* Добавление роли AD CS CA | * Добавление роли AD CS CA | ||
Line 71: | Line 69: | ||
vim /etc/resolv.conf | vim /etc/resolv.conf | ||
- | init 6 | + | hostname `cat /etc/hostname` |
</code> | </code> | ||
Line 114: | Line 112: | ||
vim /etc/resolv.conf | vim /etc/resolv.conf | ||
- | init 6 | + | hostname `cat /etc/hostname` |
</code> | </code> | ||
Line 122: | Line 120: | ||
===== Шаг 7. Аутентификация и авторизация пользователей MinIO через KeyCloak ===== | ===== Шаг 7. Аутентификация и авторизация пользователей MinIO через KeyCloak ===== | ||
+ | * Запускаем импорт **minio.corpX.un** | ||
* Добавляем в DNS minio A 192.168.X.18 | * Добавляем в DNS minio A 192.168.X.18 | ||
Line 137: | Line 136: | ||
vim /etc/resolv.conf | vim /etc/resolv.conf | ||
- | init 6 | + | hostname `cat /etc/hostname` |
</code> | </code> | ||
Line 143: | Line 142: | ||
* [[Сервис MinIO]] Запуск сервера, подключение через браузер (можно с хост системы), создание и подключение локальной учетной записью пользователя и демонстрация необходимости атрибута policy | * [[Сервис MinIO]] Запуск сервера, подключение через браузер (можно с хост системы), создание и подключение локальной учетной записью пользователя и демонстрация необходимости атрибута policy | ||
- | * [[Пакет OpenSSL#Импорт сертификата центра сертификации]] | ||
* Сервис MinIO [[Сервис MinIO#Интеграция с Keycloak]] | * Сервис MinIO [[Сервис MinIO#Интеграция с Keycloak]] | ||
- | ===== Итоги, что получилось, что не удалось, над чем работать ===== | + | ===== Тестирование ===== |
+ | <code> | ||
+ | https://keycloak.corp13.un/realms/corp13/account/ | ||
+ | http://gate.corp13.un/cgi-bin/test-cgi/ | ||
+ | |||
+ | http://gate.corp13.un/mail | ||
+ | |||
+ | https://gate.corp13.un | ||
+ | |||
+ | https://webinar.corp13.un | ||
+ | |||
+ | http://minio.corp13.un:9000 | ||
+ | </code> | ||
+ | |||
+ | ===== Итоги, что получилось, что надо сделать, что не удалось ===== | ||
+ | |||
+ | * Keycloak MS AD LDAPS | ||
* GSSAPI SSO [[Сервис Keycloak#Kerberos]] интегрировать с OpenID | * GSSAPI SSO [[Сервис Keycloak#Kerberos]] интегрировать с OpenID | ||
- | * Keycloak LDAPS | + | |
===== Вопросы ===== | ===== Вопросы ===== |