我已经为这个问题绞尽脑汁两天了。
我已经设置了新的 Keycloak 和 OpenLDAP 实例,并且我想使用 OpenLDAP 作为所有用户数据的真实来源。我想使用 Keycloak 创建和编辑用户。然后,新的/修改的用户应该同步到 OpenLDAP。
我之前用 Keycloak v13 测试过这个设置,效果很好。现在我正尝试用 Keycloak v19 将其投入生产,但我无法让 Keycloak 真正写入任何事物到 OpenLDAP。当我在 Keycloak 中创建新用户/组时,我甚至没有在 Keycloak 日志中看到 LDAP 写入尝试(提升到 TRACE)。
我知道 LDAP 连接有效,因为如果我在 OpenLDAP 中手动创建一个新组,它将显示在 Keycloak 中,但我无法以其他方式进行同步。
我的 LDAP 设置
# Base organization
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
dc: example
o: Example Company
# Organizational Unit for our Users
dn: ou=Users,dc=example,dc=com
objectClass: organizationalUnit
ou: Users
# Organizational Unit for our Groups
dn: ou=Groups,dc=example,dc=com
objectClass: organizationalUnit
ou: Groups
我的用户联盟设置
我的群组同步设置
想法
同步注册不见了在 v19 中。所以,也许这就是它不尝试写入 LDAP 服务器的原因。但是,这不应该影响组,而且我也没有看到创建新的组。
...我不知所措
知道为什么 Keycloak 不想对 OpenLDAP 进行任何更改吗?