Netbox — веб приложение с открытым исходным кодом, разработанное для управления и документирования компьютерных сетей. Изначально Netbox придуман командой сетевых инженеров DigitalOcean специально для системных администраторов. Настройка Keycloak В вэб-админке Keycloak создаем новую область (realm), например itdraft, в ней настраиваем либо федерацию с LDAP MS Active Directory или FreeIPA, либо просто добавляем пользователей. Настроим клиента в…
Blackbox exporter — экспортер для Prometheus, который реализует сбор метрик внешних сервисов через HTTP, HTTPS, DNS, TCP, ICMP. Основное предназначение – проверять SSL-сертификаты и уведомлять (с помощью Alertmanager) о том, что срок действия сертификата завершается. Установка и настройка Blackbox Exporter Добавляем пользователя и создаем каталог для конфига Blackbox Exporter Скачиваем финальную версию, распаковываем её и копируем…
![[Решено] SSO Kerberos авторизация в Keycloak](https://itdraft.ru/wp-content/uploads/2023/03/install-nix-os-in-vm.webp "[Решено] SSO Kerberos авторизация в Keycloak")
Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. Kerberos выполняет аутентификацию в качестве службы аутентификации доверенной третьей стороны, используя криптографический разделяемый секрет, при условии, что пакеты, проходящие по незащищенной сети, могут быть перехвачены, модифицированы и использованы злоумышленником. Kerberos построен на криптографии симметричных ключей и требует…
OAuth2 Proxy — это обратный прокси-сервер, который находится перед вашим приложением и обеспечивает аутентификацию OpenID Connect / OAuth 2.0 с использованием провайдеров идентификации (Google, GitHub, Keycloak и других). Установку Prometheus, Alertmanager и OAuth2 Proxy произвожу на одной ВМ под управлением Rocky Linux 9, по этому для начала либо настраиваем SELinux, либо отключаем его (выбрал второй…
![[РЕШЕНО] LDAP-авторизация в PostgreSQL для FreeIPA](https://itdraft.ru/wp-content/uploads/2023/01/nn_guide-min.png "Установка NetBox в Rocky Linux 9")
У нас развернута служба каталогов на FreeIPA. Требуется подключить LDAP-авторизацию в PostgreSQL для пользователей FreeIPA из определенной группы Требования: Редактируем файл pg_hba.conf и вставляем строку подключения либо следующую строку, если хотим фильтрацию по группам Строка подключения должна идти самой первой записью, что б отрабатывала LDAP-авторизация.Одновременно ldapsearchattribute и ldapsearchfilter не работают, PostgreSQL не запустится. Перезапускаем PostgreSQL…
Keycloak — продукт с открытым кодом для реализации single sign-on с возможностью управления доступом, нацелен на современные применения и сервисы. По состоянию на 2018 год, этот проект сообщества JBoss находится под управлением Red Hat которые используют его как upstream проект для своего продукта RH-SSO На официальном сайте про обновление Keycloak сказано следующее: Обновление будем производить…
OAuth — открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей логин и пароль. Настройка User federation с FreeIPA в Keycloak В вэб-админке Keycloak создаем новую область (realm), например myrealm, и переходим в раздел User federation. Там добавляем LDAP-провайдера Вкладка Settings: Проверяем подключение, сохраняем Вкладка Mappers…
![[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля](https://itdraft.ru/wp-content/uploads/2023/02/hack_b-min-1.png "[Решено] Отключаем автоматический запрос смены пароля для FreeIPA")
Из-за дефолтной политики паролей FreeIPA, пользователь, у которого закончился срок действия пароля, все еще может авторизовываться через LDAP, если вы используете FreeIPA в качестве службы каталогов Для отключения этого, необходимо изменить параметр Grace login limit в политиках паролей, с дефолтного значения “-1” на “0“. Лучше всего это сделать, создав новую парольную политику для группы “ipausers”…
Во FreeIPA при добавлении пользователя и последующей его авторизации (в админке FreeIPA или по SSH) запрашивается принудительная смена пароля. Иногда возникают ситуации, когда надо отключить принудительную смену пароля. Это происходит из-за того, что параметр krbPasswordExpiration по умолчанию равен дате создания пользователя. Авторизуемся в домене и изменим параметр krbPasswordExpiration
