SSO авторизация в Netbox через Keycloak

SSO авторизация в Netbox через Keycloak

Netbox — веб приложение с открытым исходным кодом, разработанное для управления и документирования компьютерных сетей. Изначально Netbox придуман командой сетевых инженеров DigitalOcean специально для системных администраторов.

Настройка Keycloak
В вэб-админке Keycloak создаем новую область (realm), например itdraft, в ней настраиваем либо федерацию с LDAP MS Active Directory или FreeIPA, либо просто добавляем пользователей.
Настроим клиента в Keycloak: переходим в …

Настройка Blackbox Exporter для мониторинга HTTP, TCP, ICMP

Настройка Blackbox Exporter для мониторинга HTTP, TCP, ICMP

Blackbox exporter — экспортер для Prometheus, который реализует сбор метрик внешних сервисов через HTTP, HTTPS, DNS, TCP, ICMP. Основное предназначение — проверять SSL-сертификаты и уведомлять (с помощью Alertmanager) о том, что срок действия сертификата завершается. 

Установка и настройка Blackbox Exporter
Добавляем пользователя и создаем каталог для конфига Blackbox Exporter
Скачиваем финальную версию, распаковываем её и копируем в каталог
Создаем системный …

[Решено] SSO Kerberos авторизация в Keycloak

[Решено] SSO Kerberos авторизация в Keycloak

Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. Kerberos выполняет аутентификацию в качестве службы аутентификации доверенной третьей стороны, используя криптографический разделяемый секрет, при условии, что пакеты, проходящие по незащищенной сети, могут быть перехвачены, модифицированы и использованы злоумышленником. Kerberos построен на криптографии симметричных ключей и требует …

Авторизация в Prometheus и Alertmanager через OAuth2 Proxy и Keycloak

Авторизация в Prometheus и Alertmanager через OAuth2 Proxy и Keycloak

OAuth2 Proxy — это обратный прокси-сервер, который находится перед вашим приложением и обеспечивает аутентификацию OpenID Connect / OAuth 2.0 с использованием провайдеров идентификации (Google, GitHub, Keycloak и других).

Установку Prometheus, Alertmanager и OAuth2 Proxy произвожу на одной ВМ под управлением Rocky Linux 9, по этому для начала либо настраиваем SELinux, либо отключаем его (выбрал второй вариант)
Установка …

[РЕШЕНО] LDAP-авторизация в PostgreSQL для FreeIPA

[РЕШЕНО] LDAP-авторизация в PostgreSQL для FreeIPA

У нас развернута служба каталогов на FreeIPA. Требуется подключить LDAP-авторизацию в PostgreSQL для пользователей FreeIPA из определенной группы
Требования:
Редактируем файл pg_hba.conf и вставляем строку подключения
либо следующую строку, если хотим фильтрацию по группам

Строка подключения должна идти самой первой записью, что б отрабатывала LDAP-авторизация.Одновременно ldapsearchattribute и ldapsearchfilter не работают, PostgreSQL не запустится.

Перезапускаем PostgreSQL
Либо перечитываем конфиг pg_hba.conf (без перезагрузки …

Установка Seafile в Rocky Linux 9

Установка Seafile в Rocky Linux 9

Seafile – это облачное хранилище файлов с открытым исходным кодом, аналог Dropbox. Но в отличии от Dropbox, файлы хранятся вашем личном сервере. Файлы могут быть синхронизированы с персональными компьютерами и мобильными устройствами через приложения. Так же функционал Seafile позволяет предоставлять доступ к файлам как внешним пользователям, так и внутренним (другим зарегистрированным пользователям вашего хранилища).

В данном …

Обновление Keycloak

Обновление Keycloak

Keycloak — продукт с открытым кодом для реализации single sign-on с возможностью управления доступом, нацелен на современные применения и сервисы. По состоянию на 2018 год, этот проект сообщества JBoss находится под управлением Red Hat которые используют его как upstream проект для своего продукта RH-SSO

На официальном сайте про обновление Keycloak сказано следующее:
Обновление будем производить с версии …

Настройка oAuth авторизации через Keycloak+FreeIPA в DokuWiki

Настройка oAuth авторизации через Keycloak+FreeIPA в DokuWiki

OAuth — открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей логин и пароль.

Настройка User federation с FreeIPA в Keycloak
В вэб-админке Keycloak создаем новую область (realm), например myrealm, и переходим в раздел User federation. Там добавляем LDAP-провайдера
Вкладка Settings:
Проверяем подключение, сохраняем
Вкладка Mappers > first name
Сохраняем
Создаем клиента для …

[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля

[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля

Из-за дефолтной политики паролей FreeIPA, пользователь, у которого закончился срок действия пароля, все еще может авторизовываться через LDAP, если вы используете FreeIPA в качестве службы каталогов
Для отключения этого, необходимо изменить параметр Grace login limit в политиках паролей, с дефолтного значения «-1» на «0«.
Лучше всего это сделать, создав новую парольную политику для группы «ipausers» (все пользователи …