Keycloak - современная система идентификации и контроля доступа. Позволяет настроить аутентификацию приложения в Active Directory, OpenID сервисах (Google, GitHub, Microsoft, etc)
Не так давно пришлось столкнуться с ним и настроить аутентификацию kubernetes в Active Directory. Keycloak из коробки не поддерживает Configuration as Code, что заставило поизучать другие варианты.
Нашел (это было очевидно на самом деле - надо просто повнимательней изучить чарт) костыль в виде keycloak-config-cli, конфигурируемого страшным JSON в сотни и тысячи строк.
Но вот прямого упоминания этого подхода где-то в интернете я не нашел, поэтому написал краткую заметку, чтобы следующие поколения знали куда копать
#keycloak #ldap #iac
Не так давно пришлось столкнуться с ним и настроить аутентификацию kubernetes в Active Directory. Keycloak из коробки не поддерживает Configuration as Code, что заставило поизучать другие варианты.
Нашел (это было очевидно на самом деле - надо просто повнимательней изучить чарт) костыль в виде keycloak-config-cli, конфигурируемого страшным JSON в сотни и тысячи строк.
Но вот прямого упоминания этого подхода где-то в интернете я не нашел, поэтому написал краткую заметку, чтобы следующие поколения знали куда копать
#keycloak #ldap #iac
Админская фамилия
Keycloak. Configuration as Code
Configuration as Code for Keycloak chart
При использовании OIDC аутентификации для k8s (keycloak, например), нужно использовать особый kubeconfig - в нем вместо сертификата пользователя указаны параметры OIDC аутентификации или опции для получения этих параметров.
Для второго случая обычно используют плагин kubelogin
Но гораздо проще ввести учетные данные от Active Directory на специальной страничке, скачать оттуда конфиг и спокойно им пользоваться без установки дополнительных плагинов
Самый популярный инструмент для этого - kuberos. К сожалению, его разработка прекращена шесть лет назад. Но это не мешает ему быть очень удобным инструментом со всеми функциями, необходимыми такому инструменту.
Оригинальный Docker образ основан на уязвимом alpine:3.7 с ужасным CVE-2019-14697
Я пересобрал и выложил образ без уязвимости. Пользуйтесь на здоровье
Образ
Коммит
#oidc #keycloak #k8s
Для второго случая обычно используют плагин kubelogin
Но гораздо проще ввести учетные данные от Active Directory на специальной страничке, скачать оттуда конфиг и спокойно им пользоваться без установки дополнительных плагинов
Самый популярный инструмент для этого - kuberos. К сожалению, его разработка прекращена шесть лет назад. Но это не мешает ему быть очень удобным инструментом со всеми функциями, необходимыми такому инструменту.
Оригинальный Docker образ основан на уязвимом alpine:3.7 с ужасным CVE-2019-14697
Я пересобрал и выложил образ без уязвимости. Пользуйтесь на здоровье
Образ
Коммит
#oidc #keycloak #k8s
GitHub
GitHub - bubnovd/kuberos: An OIDC authentication helper for Kubernetes' kubectl
An OIDC authentication helper for Kubernetes' kubectl - bubnovd/kuberos