= Keycloak =
<<TableOfContents()>>
== Установка и запуск ==
После перебора различных вариантов установки и запуска Keycloak самым комфортным оказался 'docker-compose'.
Пример конфигурации Keycloak с letsencrypt, базой данных PostgreSQL и автоматическим бекапированием на S3:
{{{#!highlight yaml
---
services:
proxy:
image: traefik:v3.3
command:
- "--entrypoints.web.address=:80"
- "--entrypoints.web.http.redirections.entrypoint.to=websecure"
- "--entrypoints.web.http.redirections.entrypoint.scheme=https"
- "--entrypoints.websecure.address=:443"
- "--certificatesresolvers.myresolver.acme.tlschallenge=true"
- "--certificatesresolvers.myresolver.acme.email=mail@example.com" # <---------------------------
- "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
ports:
- target: 80
published: 80
protocol: tcp
mode: host
- target: 443
published: 443
protocol: tcp
mode: host
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- ./letsencrypt:/letsencrypt
keycloak:
image: quay.io/keycloak/keycloak:26.0.1
restart: unless-stopped
command: start
ports:
- "127.0.0.1:8080:8080"
environment:
KC_PROXY_ADDRESS_FORWARDING: "true"
KC_HOSTNAME_STRICT: "false"
KC_HOSTNAME_STRICT_HTTPS: "false"
KC_HOSTNAME: keycloak.example.com # <---------------------------
KC_HTTP_ENABLED: "true"
KC_PROXY_HEADERS: xforwarded
KEYCLOAK_ADMIN: tmpadmin
KEYCLOAK_ADMIN_PASSWORD: secret # <---------------------------
# ---
KC_DB: postgres
KC_DB_URL: jdbc:postgresql://postgres:5432/kc
KC_DB_USERNAME: db_username # <---------------------------
KC_DB_PASSWORD: db_secret # <---------------------------
# ---
labels:
- "traefik.http.routers.kc.rule=Host(`keycloak.example.com`)" # <---------------------------
- "traefik.http.routers.kc.service=kc"
- "traefik.http.routers.kc.entrypoints=websecure"
- "traefik.http.routers.kc.tls.certresolver=myresolver"
- "traefik.http.services.kc.loadbalancer.server.port=8080"
postgres:
image: postgres:16
environment:
POSTGRES_USER: db_username # <---------------------------
POSTGRES_PASSWORD: db_password # <---------------------------
POSTGRES_DB: kc
PGDATA: /var/lib/postgresql/data/pgdata
ports:
- "127.0.0.1:5432:5432"
volumes:
- postgresql_data:/var/lib/postgresql/data/pgdata
deploy:
resources:
limits:
cpus: '0.50'
memory: 512M
reservations:
cpus: '0.25'
memory: 256M
command: >
postgres -c max_connections=1000
-c shared_buffers=256MB
-c effective_cache_size=768MB
-c maintenance_work_mem=64MB
-c checkpoint_completion_target=0.7
-c wal_buffers=16MB
-c default_statistics_target=100
healthcheck:
test: [ "CMD-SHELL", "pg_isready -U db_username -d kc" ] # <---------------------------
interval: 30s
timeout: 10s
retries: 5
restart: unless-stopped
tty: true
stdin_open: true
backup:
image: eeshugerman/postgres-backup-s3:16
environment:
SCHEDULE: '@daily'
BACKUP_KEEP_DAYS: 14
S3_ENDPOINT: https://s3.endpoint.com # <---------------------------
S3_REGION: my-region # <---------------------------
S3_ACCESS_KEY_ID: access_key # <---------------------------
S3_SECRET_ACCESS_KEY: secret_key # <---------------------------
S3_BUCKET: bucket_name # <---------------------------
S3_PREFIX: backups # <---------------------------
POSTGRES_HOST: postgres
POSTGRES_DATABASE: kc
POSTGRES_USER: db_username # <---------------------------
POSTGRES_PASSWORD: db_password # <---------------------------
volumes:
postgresql_data: {}
}}}
== Интеграция ==
=== Grafana ===
Источники:
. [[ https://grafana.com/docs/grafana/latest/setup-grafana/configure-security/configure-authentication/generic-oauth/ ]]
. [[ https://grafana.com/docs/grafana/latest/setup-grafana/configure-security/configure-authentication/keycloak/ ]]
. [[ https://stackoverflow.com/questions/68741412/grafana-generic-oauth-role-assignment ]]
Интеграция с Grafana осуществляется в соответствии с документацией.
Однако, необходимо учитывать особенность: Grafana осуществляет поиск ролей в 'id_token', а не 'access_token'. По умолчанию, роли пользователя не попадают в id_token, поэтому надо подкрутить конфигурацию клиента - [[ https://stackoverflow.com/questions/68741412/grafana-generic-oauth-role-assignment ]].
=== SSH ===
Пример конфигурации, которая позволяет предоставлять административный доступ к серверу через `ssh` путем назначения роли пользователю или группе.
План:
1. настраиваем сервер
2. устанавливаем расширение в Keycloak
На этапе настройки сервера устанавливаем [[https://github.com/kha7iq/kc-ssh-pam | kc-ssh-pam]]. В процессе установки можно внести ряд дополнений:
Запрещаем дальнейшие действия в случае неудачной проверки пользователя в Keycloak. Это может быть полезным, если локальный пользователь с таким же именем уже существует на сервере или в Keycloak такого пользователя. В таком случае, пользователь сможет зайти под локальной учетной записью, что не является предпочтительным.
{{{
# --- вместо
auth sufficient pam_exec.so expose_authtok log=/var/log/kc-ssh-pam.log /opt/kc-ssh-pam/kc-ssh-pam
auth optional pam_script.so
# --- использовать
auth [success=2 default=ignore] pam_exec.so expose_authtok log=/var/log/kc-ssh-pam.log /opt/kc-ssh-pam/kc-ssh-pam
auth optional pam_script.so
auth requisite pam_deny.so
}}}
В скрипте `/usr/share/libpam-script/pam_script_auth` добавляем строку
{{{#!highlight bash
adduser $PAM_USER sudo
}}}
чтобы новый пользователь сразу добавлялся в группу `sudo`.
Также, здесь необходимо отключить пароль для `sudo`.
{{{#!highlight bash
sudo visudo
# --- вместо
%sudo ALL=(ALL:ALL) ALL
# --- используем
%sudo ALL=NOPASSWD: ALL
}}}
На втором этапе устанавливаем расширение [[https://github.com/sventorben/keycloak-restrict-client-auth | keycloak-restrict-client-auth ]] для Keycloak. Это расширение нам требуется для ограничение доступа к Realm клиенту, созданному на предыдущем этапе. "Из коробки" (на сколько понимаю) Keycloak не предоставляет такую возможность.
Установку выполняем по [[https://github.com/sventorben/keycloak-restrict-client-auth/blob/main/README.md | README.md ]] для ''Client Role based'' режима. Здесь можно использовать более простой вариант аутентификации
{{devops/keycloak/ssh-flow|SSH authorization flow | width=50%}}
Кроме того, требуется указать новый способ аутентификации в настройках клиента ''ssh-login'': Clients > ssh-login > Advanced > Authentication flow overrides > Direct Grant Flow
По итогу получаем, что при назначении роли `restricted-access` пользователю или группе предоставляется `ssh` доступ с ''sudo'' к преднастроенным серверам.
== Рецепты ==
=== Восстанавливаем доступ администратора ===
Для восстановления пароля требуется доступ к серверу, на котором установлен Keycloak.
Создаем временного администратора
{{{#!highlight bash
bin/kc.sh bootstrap-admin user
}}}
Далее:
1. заходим под временным администратором,
2. сбрасываем пароль,
3. заходим под администратором,
4. удаляем временного администратора.
=== Как получить токен
В целях отладки можно выполнить `curl` запрос к Keycloak и получить токен
{{{#!highlight bash
curl -d "grant_type=password" \
-d "scope=openid" \
-d "client_id=client_id" \
-d "client_secret=client_secret" \
-d "username=username" \
-d "password=secret" \
https://keycloak.example.com/realms/REALM_NAME/protocol/openid-connect/token | jq .
}}}
