SSO авторизация в Netbox через Keycloak

SSO авторизация в Netbox через Keycloak

Netbox — веб приложение с открытым исходным кодом, разработанное для управления и документирования компьютерных сетей. Изначально Netbox придуман командой сетевых инженеров DigitalOcean специально для системных администраторов. Настройка Keycloak В вэб-админке Keycloak создаем новую область (realm), например itdraft, в ней настраиваем либо федерацию с LDAP MS Active Directory или FreeIPA, либо просто добавляем пользователей. Настроим клиента в…

Настройка Blackbox Exporter для мониторинга HTTP, TCP, ICMP

Настройка Blackbox Exporter для мониторинга HTTP, TCP, ICMP

Blackbox exporter — экспортер для Prometheus, который реализует сбор метрик внешних сервисов через HTTP, HTTPS, DNS, TCP, ICMP. Основное предназначение – проверять SSL-сертификаты и уведомлять (с помощью Alertmanager) о том, что срок действия сертификата завершается.  Установка и настройка Blackbox Exporter Добавляем пользователя и создаем каталог для конфига Blackbox Exporter Скачиваем финальную версию, распаковываем её и копируем…

[Решено] SSO Kerberos авторизация в Keycloak

[Решено] SSO Kerberos авторизация в Keycloak

Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. Kerberos выполняет аутентификацию в качестве службы аутентификации доверенной третьей стороны, используя криптографический разделяемый секрет, при условии, что пакеты, проходящие по незащищенной сети, могут быть перехвачены, модифицированы и использованы злоумышленником. Kerberos построен на криптографии симметричных ключей и требует…

Авторизация в Prometheus и Alertmanager через OAuth2 Proxy и Keycloak

Авторизация в Prometheus и Alertmanager через OAuth2 Proxy и Keycloak

OAuth2 Proxy — это обратный прокси-сервер, который находится перед вашим приложением и обеспечивает аутентификацию OpenID Connect / OAuth 2.0 с использованием провайдеров идентификации (Google, GitHub, Keycloak и других). Установку Prometheus, Alertmanager и OAuth2 Proxy произвожу на одной ВМ под управлением Rocky Linux 9, по этому для начала либо настраиваем SELinux, либо отключаем его (выбрал второй…

[РЕШЕНО] LDAP-авторизация в PostgreSQL для FreeIPA

[РЕШЕНО] LDAP-авторизация в PostgreSQL для FreeIPA

У нас развернута служба каталогов на FreeIPA. Требуется подключить LDAP-авторизацию в PostgreSQL для пользователей FreeIPA из определенной группы Требования: Редактируем файл pg_hba.conf и вставляем строку подключения либо следующую строку, если хотим фильтрацию по группам Строка подключения должна идти самой первой записью, что б отрабатывала LDAP-авторизация.Одновременно ldapsearchattribute и ldapsearchfilter не работают, PostgreSQL не запустится. Перезапускаем PostgreSQL…

Обновление Keycloak

Обновление Keycloak

Keycloak — продукт с открытым кодом для реализации single sign-on с возможностью управления доступом, нацелен на современные применения и сервисы. По состоянию на 2018 год, этот проект сообщества JBoss находится под управлением Red Hat которые используют его как upstream проект для своего продукта RH-SSO На официальном сайте про обновление Keycloak сказано следующее: Обновление будем производить…

Настройка oAuth авторизации через Keycloak+FreeIPA в DokuWiki

Настройка oAuth авторизации через Keycloak+FreeIPA в DokuWiki

OAuth — открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей логин и пароль. Настройка User federation с FreeIPA в Keycloak В вэб-админке Keycloak создаем новую область (realm), например myrealm, и переходим в раздел User federation. Там добавляем LDAP-провайдера Вкладка Settings: Проверяем подключение, сохраняем Вкладка Mappers…

[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля

[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля

Из-за дефолтной политики паролей FreeIPA, пользователь, у которого закончился срок действия пароля, все еще может авторизовываться через LDAP, если вы используете FreeIPA в качестве службы каталогов Для отключения этого, необходимо изменить параметр Grace login limit в политиках паролей, с дефолтного значения “-1” на “0“. Лучше всего это сделать, создав новую парольную политику для группы “ipausers”…

[Решено] Отключаем автоматический запрос смены пароля для FreeIPA

[Решено] Отключаем автоматический запрос смены пароля для FreeIPA

Во FreeIPA при добавлении пользователя и последующей его авторизации (в админке FreeIPA или по SSH) запрашивается принудительная смена пароля. Иногда возникают ситуации, когда надо отключить принудительную смену пароля. Это происходит из-за того, что параметр krbPasswordExpiration по умолчанию равен дате создания пользователя. Авторизуемся в домене и изменим параметр krbPasswordExpiration