Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
virtualisierung:proxmox_kvm_und_lxc:openid_keycloak_anbindung_proxmox [2024/03/14 10:54] – loma | virtualisierung:proxmox_kvm_und_lxc:openid_keycloak_anbindung_proxmox [2024/03/14 13:55] (aktuell) – loma | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== OPENID Keycloak Anbindung Proxmox ====== | ||
Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen 8-o. Gerne. Wir bedanken uns bei dir für deine Spende! LOL \\ | Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen 8-o. Gerne. Wir bedanken uns bei dir für deine Spende! LOL \\ | ||
[[https:// | [[https:// | ||
Zeile 8: | Zeile 7: | ||
\\ | \\ | ||
\\ | \\ | ||
- | --- | + | ====== OPENID Keycloak Anbindung Proxmox ====== |
- | Die folgende Dokumentation zeigt die Keycloakanbindung von Proxmox inkl. Login berechtigten Gruppen. Als Backend wird [[https:// | + | |
+ | |||
+ | |||
+ | Die folgende Dokumentation zeigt die Keycloakanbindung von Proxmox inkl. Login berechtigten Gruppen. Als Backend wird [[https:// | ||
__Verwendete Systeme/ | __Verwendete Systeme/ | ||
Zeile 43: | Zeile 45: | ||
\\ | \\ | ||
\\ | \\ | ||
- | Für unser späteres Vorhaben nur bestimmte Gruppen zu zulasssen, müssen nach dem " | + | Für unser späteres Vorhaben |
\\ | \\ | ||
{{: | {{: | ||
Zeile 50: | Zeile 52: | ||
===== Konfiguration OpenID auf Proxmox ===== | ===== Konfiguration OpenID auf Proxmox ===== | ||
- | Hier bedient man sich am besten der CMD. Bevor man dies tut muss man sich aber noch das " | + | Hier bedient man sich am besten der CMD. Bevor man dies tut muss man sich aber noch das **" |
\\ | \\ | ||
{{: | {{: | ||
Zeile 66: | Zeile 68: | ||
===== Einschränkung auf Gruppen ===== | ===== Einschränkung auf Gruppen ===== | ||
+ | Um überhaupt zu den LDAP-Gruppen zu kommen, muss ein **" | ||
+ | Im TAB Mappers, fügt man nun den **" | ||
+ | |||
+ | {{: | ||
+ | \\ | ||
+ | \\ | ||
+ | Der Inhalt wurde auf einen Default UCS-LDAP angepasst. | ||
+ | |||
+ | ^ Attributbeschreibung | ||
+ | | ID | auto generiert | ||
+ | | Name | group-ldap-mapper | ||
+ | | Mapper type | group-ldap-mapper | ||
+ | | LDAP Groups DN | cn=tux-groups, | ||
+ | | Group Name LDAP Attribute | ||
+ | | Group Object Classes | ||
+ | | Preserve Group Inheritance | ||
+ | | Ignore Missing Groups | ||
+ | | Membership LDAP Attribute | ||
+ | | Membership Attribute Type | UID | ||
+ | | Membership User LDAP Attribute | ||
+ | | LDAP Filter | ||
+ | | Mode | READ_ONLY | ||
+ | | User Groups Retrieve Strategy | ||
+ | | Member-Of LDAP Attribute | ||
+ | | Mapped Group Attributes | ||
+ | | Drop non-existing groups during sync | OFF | ||
+ | | Groups Path | / | Dies zu Ändern macht \\ bei vielen Gruppen vielleicht Sinn. | | ||
+ | Danach **" | ||
+ | |||
+ | {{: | ||
+ | \\ | ||
+ | \\ | ||
+ | ==== Userimport und automatischer Sync in Echtzeit (optional) ==== | ||
+ | Dieser Schritt muss nicht durchgeführt werden. Keycloak schaut auch jedes mal gerne am LDAP Live nach welche Benutzer es gibt. Aus Performancegründe macht es bei größeren Installationen Sinn die Benutzer direkt in die lokal MariaDB zu syncen. Hier zu bearbeitet man wieder den **" | ||
+ | \\ | ||
+ | {{: | ||
+ | \\ | ||
+ | Jetzt hat man in der rechten oberen Ecke unter **" | ||
+ | \\ | ||
+ | {{: | ||
+ | \\ | ||
+ | Beim Speichern der Einstellungen deaktiviert sich dieses Flag wieder. ...scheint aber zu funktionieren, | ||
+ | |||
+ | ==== Einrichtung der Authorization im proxmox-cluster01 Client | ||
+ | Als erstes muss im Client die " | ||
+ | \\ | ||
+ | {{: | ||
+ | \\ | ||
+ | Nun fügen wir eine neue Group-Policy hinzu. | ||
+ | \\ | ||
+ | {{: | ||
+ | {{: | ||
+ | |||
+ | <WRAP center round info 60%> | ||
+ | Die folgenden zwei Gruppen " | ||
+ | </ | ||
+ | Im nächsten Schritt fügen wir nun noch die Berechtigungen hinzu. \\ \\ | ||
+ | {{: | ||
+ | \\ | ||
+ | \\ | ||
+ | {{: | ||
+ | |||
+ | ==== Benutzer Evaluierung ==== | ||
+ | Ein ganz bequemes Werkzeug ist die Benutzer Evaluierung. Dies befindet sich auch in der Clientkonfiguration direkt neben Berechtigungen. Damit ist es möglich Benutzerrechte live zu testen. Da Keycloak einen Cache betreibt, ist das Werzeug nicht mehr weg zu denken. | ||
+ | \\ | ||
+ | \\ | ||
+ | {{: | ||
+ | \\ | ||
+ | \\ | ||
+ | Hier kann man sehr gut erkennen das der Benutzer " | ||
+ | \\ | ||
+ | {{: | ||
+ | \\ | ||
+ | \\ | ||
+ | Und schon darf er sich einloggen. 8-) | ||
+ | \\ | ||
+ | Wie man sieht ist mit Keycloak/ | ||
+ | ===== Automatisch delegierte Berechtigungen über eine LDAP-Gruppe ===== | ||
+ | <WRAP center round todo 60%> | ||
+ | Damit müssen keine Berechtigungen mehr dem Benutzern in Proxmox manuell zugewiesen werden. | ||
+ | </ | ||
+ | FIXME | ||
+ | https:// | ||
+ | FIXME |