[Решено] SSO Kerberos авторизация в Keycloak
Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. Kerberos выполняет аутентификацию в качестве службы аутентификации доверенной третьей стороны, используя криптографический разделяемый секрет, при условии, что пакеты, проходящие по незащищенной сети, могут быть перехвачены, модифицированы и использованы злоумышленником. Kerberos построен на криптографии симметричных ключей и требует наличия центра распределения ключей.
- Ранее была опубликована статья по настройке федерации с Microsoft Active Directory
В Active Directory для нашего пользователя keycloak
создаем spn-запись
и keytab-файл
:
1
2
3
setspn -A HTTP/[email protected] keycloak
ktpass -princ HTTP/[email protected] -mapUser [email protected] -crypto RC4-HMAC-NT -pass * -kvno 0 -ptype KRB5_NT_PRINCIPAL -out C:\tmp\keycloak.keytab
Копируем keytab-файл
на сервер с установленным keycloak в раздел /opt/keycloak
Переходим в раздел User federation
и редактируем LDAP-провайдера
1
2
3
4
5
6
Kerberos integration:
Allow Kerberos authentication: On
Kerberos realm: ITDRAFT.RU
Server principal: HTTP/[email protected]
Key tab: /opt/keycloak/keycloak.keytab
Debug: On # Можно включить на время отладки
Для дебага, мониторим логи keycloak /tmp/keycloak.log
Через групповую политику добавляем наш домен keycloak.itdraft.ru
в доверенные
Для Chrome, Edge:
1
AuthServerWhitelist = keycloak.itdraft.ru
Для Firefox:
1
2
network.negotiate-auth.trusted-uris
network.automatic-ntlm-auth.trusted-uris