Настройка отказоустойчивого кластера PostgreSQL в Linux

Настройка отказоустойчивого кластера PostgreSQL в Linux

PostgreSQL Cluster

Отказоустойчивость PostgreSQL обеспечивается переключением ролей сервера с Реплики на Мастер СУБД и механизмом потоковой репликации, позволяющим передавать изменения с ведущего сервера на ведомые так, чтобы в каждый момент времени на ведомом сервере хранилась полная и консистентная копия базы данных.

Для настройки отказоустойчивости PostgreSQL будет использоваться следующее ПО:

OS: Deiban 11 или 12

Patroni

Etcd

Keepalived

Pgbouncer

Haproxy

Тестовый стенд развернут на системе виртуализации …

[Решено] SSO Kerberos авторизация в Keycloak

[Решено] SSO Kerberos авторизация в Keycloak

SSO + Kerberos + Keycloak

Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. Kerberos выполняет аутентификацию в качестве службы аутентификации доверенной третьей стороны, используя криптографический разделяемый секрет, при условии, что пакеты, проходящие по незащищенной сети, могут быть перехвачены, модифицированы и использованы злоумышленником. Kerberos построен на криптографии …

Настройка oAuth авторизации через Keycloak в Seafile

Настройка oAuth авторизации через Keycloak в Seafile

oAuth Keycloak + Seafile

OAuth — открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей логин и пароль.

Установка Keycloak была рассмотрена в одной из предыдущих статей.

Установка Seaflie так же была рассмотрена в одной из предыдущих статей.

Настройка User federation Keycloak c MS Active Directory так же была рассмотрена …

Настройка oAuth авторизации через Keycloak+FreeIPA в DokuWiki

Настройка oAuth авторизации через Keycloak+FreeIPA в DokuWiki

oAuth Keycloak + DokuWiki + FreeIPA

OAuth — открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей логин и пароль.

Установка Keycloak была рассмотрена в одной из предыдущих статей.

Установка DokuWiki так же была рассмотрена в одной из предыдущих статей.

Настройка User federation с FreeIPA в Keycloak

В вэб-админке Keycloak создаем …

[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля

[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля

[HowTO] Disable FreeIPA LDAP Authorization for Expired Users

Из-за дефолтной политики паролей FreeIPA, пользователь, у которого закончился срок действия пароля, все еще может авторизовываться через LDAP, если вы используете FreeIPA в качестве службы каталогов

Для отключения этого, необходимо изменить параметр Grace login limit в политиках паролей, с дефолтного значения “-1” на “0“.

Лучше всего это сделать, создав …

[Решено] Отключаем автоматический запрос смены пароля для FreeIPA

[Решено] Отключаем автоматический запрос смены пароля для FreeIPA

[HowTo] FreeIPA: How to disable First time password change

Во FreeIPA при добавлении пользователя и последующей его авторизации (в админке FreeIPA или по SSH) запрашивается принудительная смена пароля. Иногда возникают ситуации, когда надо отключить принудительную смену пароля.

Это происходит из-за того, что параметр krbPasswordExpiration по умолчанию равен дате создания пользователя.

Авторизуемся в домене и изменим параметр krbPasswordExpiration

$ kinit admin
$ ipa user-mod …

Уведомление об истечении срока действия пароля в FreeIPA

Уведомление об истечении срока действия пароля в FreeIPA

FreeIPA expiring password notification

FreeIPA — открытый проект для создания централизованной системы по управлению идентификацией пользователей, задания политик доступа и аудита для сетей на базе Linux и Unix.

Установка утилиты ipa-enp

Для отправки уведомлений об истечении срока действия пароля в FreeIPA используется утилита ipa-enp, расположенная в репозитории Appstream

Устанавливаем пакет

$ sudo dnf -y install ipa-client-epn

Настройка ipa-enp

Отредактируем файл конфигурации …

Работаем с FreeIPA из командной строки

Работаем с FreeIPA из командной строки

FreeIPA cli

FreeIPA — open source решение для централизованного управления идентификацией пользователей, задания политик доступа на базе Linux и Unix.

Бывают ситуации, когда быстрее и проще выполнить какое-нибудь действие (массовые действия) с FreeIPA через терминал. Например: добавить пользователей, сбросить пароли и т.д.

Для начала авторизуемся под пользователем с правами администратора FreeIPA

$ kinit admin
Password for admin@EXAMPLE.LOCAL:

Работаем с пользователями

Посмотреть информацию …

Установка Keycloak и PostgeSQL в Linux (Centos, Rocky, Debian)

Установка Keycloak и PostgeSQL в Linux (Centos, Rocky, Debian)

Keycloak + PostgreSQL

Keycloak – продукт с открытым кодом для реализации single sign-on с возможностью управления доступом, нацелен на современные применения и сервисы. По состоянию на 2018 год, этот проект сообщества JBoss находится под управлением Red Hat которые используют его как upstream проект для своего продукта RH-SSO

Подготовка к установке Keycloak

Добавляем пользователя и группу

$ sudo groupadd -r …