我们已经将基础架构配置为使用 FreeIPA 作为用户数据库,使用 keycloak 作为 SSO 身份验证,使用 Radius 作为身份验证代理。我们到处都使用密码 + OTP 策略。我们有几个应用程序连接到 keycloak,它们会保留一段时间的会话,因此它们没有问题,但有些服务无法很好地与它配合使用: 每次用户尝试重新连接时都需要通过 Radius 进行 WiFi 身份验证,然后由于 OTP 已更改而登录失败。有没有办法以某种方式存储 Wifi 会话,以便它至少可以工作一天? 另一件事是我们的 OpenVPN - 我们已经将其设置为在不活动后断开连接...
我正在尝试通过 Keycloak 和 OpenID 为 OpenStack 设置 SSO。如果我使用 OpenStack 文档中的示例映射,它可以正常工作。但是,我想要一个不同的设置,需要您的帮助。 在 Keycloak 中,我定义了一个用户,并为项目 (os_project) 和角色 (os_role) 设置了属性。我正在尝试设置一个映射配置,该配置将用户分配给 Keycloak 中指定的 OpenStack 项目,并使用 Keycloak 中指定的角色。 我已经使用以下命令设置了身份提供者、映射和联合协议: openstack identity prov...
我正在尝试设置以下传递架构: (A)Keycloak 作为 AD 上的用户联合 (B)Keycloak 作为 Keycloak 的经纪人(A) (C)Keycloak 作为 Keycloak 的代理(B)连接到某些服务提供商 ---- ----- ----- ----- | AD | <-- | (A) | <-- | (B) | <-- | (C) | ---- ----- ----- ----- 我的情况:当我尝试连接到 Keycl...
我设法为我们的 Microsoft 租户启用了联合登录,这样如果你登录到 office.com 并输入你的用户名(例如“[电子邮件保护]“),然后您将被重定向到我们的 Keycloak 实例,在那里进行身份验证,然后您将被重定向回 office.com 并成功登录。 我现在想为我们的 Windows Education 机器启用相同的功能。通过使用 Windows 配置设计器,我启用了 SharedPC 设置,还启用了 FederatedAuthentication/EnableWegSignInForPrimaryUser 和 Policies/Authe...
我已经建立了一个 Keycloak 服务器,并且正在将其与 Linux 服务器集成,以允许 Keycloak 的用户使用他们的 Keycloak 凭据登录 Linux 服务器进行身份验证。 理想情况下,我希望当用户运行ssh server-name@server-ip命令时,它会打开一个 Keycloak 登录页面,他们可以在其中输入他们的凭据并获得系统的访问权限。 我的研究让我开始探索使用 PAM 作为配置 Keycloak 与 Linux 服务器集成的方法。我安装了 kc-ssh-pam 二进制文件,并将以下行添加到 /etc/pam.d/sshd 目录...
我需要授权我的应用程序(从现在起名为“Logic”)管理 Keycloak 领域的用户。“Logic”已使用客户端凭据授予访问类型针对该领域进行了身份验证,因此代码已开始运行。 现在,在 Keycloak 管理控制台中,我需要向我的客户端添加正确的角色,以便“Logic”被授权调用 Keycloak 提供的任何 API 端点来管理领域用户。 在领域客户端列表中,有一个名为 的客户端realm-management,Keycloak 默认为每个领域提供该客户端。此客户端可以管理整个领域,而不仅仅是其用户,因此它有一个客户端角色列表。manage-users是该...
有没有办法配置 keycloak 管理 UI 来监听与 IAM 服务不同的端口? 我的主要目标是限制仅从专用 IP 地址访问管理员,并允许从公共互联网访问 OAuth 和 OIDC 客户端。 ...
我正在运行 KeyCloak 作为 K3s 集群中的一项服务,为集群上的另一项服务提供身份管理,这两项服务都位于 Ngnix 后面。删除 Github(初始设置期间的初始身份提供者)并尝试将其添加回来后,我无法再通过 github 进行身份验证。错误显示: 仪表板错误 Github 上的这个 OAuth 应用程序创建之前是可以运行的,所以配置是正确的。 运行后我从运行 KeyCloak 的命名空间中得到的错误kubectl logs [pod-name] -n [namespace]: 2023-12-30 11:41:56,801 WARN [org.k...
我们目前正在使用 keycloak 作为非常简单的用例,该用例为 kubernetes 上 nginx 入口控制器后面的 Apis 集启用 Oauth2 客户端凭证授予。 Keycloak 运行良好,因为我们可以使用控制台来创建客户端、范围并映射到特定的资源服务器。 但是我们一直困扰的是如何管理 keycloak 更改?我们严重依赖 gitops 和 argocd 来部署 kubernetes 更改。使用 keycloak 操作符,它仅支持导入。(从文档来看,似乎它甚至不支持更新)。此外,我们有多个环境,理想情况下,我们可以将其编码并将更改从较低的环境移动到...
我对 Apache Ranger 和 Keycloak 都很陌生。当我进行研究时,我了解到 Apache ranger 和 Keycloak 都具有授权功能,此外 keycloak 还具有身份验证功能。有人能帮我比较一下 Keycloak 和 Apache Ranger 在授权功能方面的功能吗? ...
我正在尝试运行 keycloak8089端口,如果我在该端口启动 docker 容器,我可以从以下位置访问 keycloak ui:http://本地主机:8089/ 但我无法使用密钥斗篷主机名 (http://keycloak:8089/)或使用 http://127.0.0.1:8089。 如果我使用另一个端口,我可以使用 keycloak 主机名访问 UI。 我已经配置了 hosts 文件密钥斗篷主机名,并且 ping 到 keycloak 是可以的。 我努力了: 重新启动电脑 重新安装docker 使用 rancher 代替 docker 使用 8...
我正在尝试使用浏览器(Chrome 或 Firefox)和配置了用户联合 AD 域(已配置 kerberos)的 keycloak 来使 SSO 工作。 首先,我介绍一下我所拥有的内容,然后添加更多细节。 概述: 调用授权端点“.../auth/realms/test_realm/protocol/openid-connect/auth”并使用 tcpdump 我可以看到: 浏览器向授权端点发送带有必要参数的获取请求 Keycloak 正确响应: -带有 401 Unauthorized -带有标头“WWW-Authenticate: Negotiat...
我在 Nginx 反向代理后面使用带有 docker-compose 的 Keycloak Quay 22.0.3,但由于使用 certbot 生成的证书自动替换,我遇到了一些麻烦。 我使用 certbot 生成的证书完全没问题,它显示它将在 3 个月后过期,(颁发者)它的 CN 是 R3,它的组织是 Let's Encrypt(与其他域一样)。 一旦我启动docker-compose它可能使用正确的证书吨时间并且它使用 HTTPS,然后,突然间,它被一个我没有生成的证书替换,(颁发者)CN Cisco Umbrella Secondary SubCA am...
在 Rocky Linux 9.2 上运行,使用 podman 4.4.1。我有一个 podman Pod,里面有 keycloak + postgresql,以无根方式运行。pod 本身带有--network 'slirp4netns:port_handler=slirp4netns'。keycloak 容器正在运行,--log-driver json-file --log-opt path=/var/log/keycloak.log因此我在主机系统本身上有日志文件。还有一个 traefik 代理使 keycloak 可访问,traefik 上的 ssl ...
我有一个 Keycloak,它有 2 个不同的 LDAP 提供程序,包括 Kerberos 身份验证。提供程序 A 具有第一优先级,提供程序 B 具有第二优先级。两个提供程序设置都提供了不同的 Kerberos 领域。 我们正在讨论两个具有域信任的 AD(如果有任何区别的话)。 使用用户名/密码登录对于两个提供商来说都非常方便。 使用 kerberos 票证登录仅适用于优先级为 1 的提供商 A。尝试使用提供商 B 的用户登录会触发向用户机器授予成功票证,但在 keycloak 身份验证时失败。 WARN [org.keycloak.federation....