So richten Sie Keycloak hinter einem HTTPS-Server ein

Question

Ich weiß, das ist alt, aber es bleibt unbeantwortet, und wenn man sich die Anzahl der Aufrufe ansieht, kommt das immer wieder vor. Ich gehe davon aus, dass viele, viele Leute irgendwann selbst eine Antwort finden, aber nichts posten, also werde ich posten, was bei mir funktioniert hat.

Typisches Szenario Internet -> HTTPS -> ModSecNginx -> HTTP -> Keycloak

Keycloak 4.4.0 ModSecurity-nginx v1.0.0 (Regeln inline/lokal/remote geladen: 0/903/0)

Ich hatte dasselbe Problem, nachdem ich „alles“ gemacht hatte, Keycloak-Proxy-Forward-True, Nginx-Empfehlungen usw. usw.

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"http://modsec.redacted.com/auth/realms/master","authorization_endpoint":"http://modsec.redacted.com/auth/realms/master/protocol/openid-connect/auth"....

Konfiguration

    server
    {
      listen 80;
      listen [::]:80;
      location /
        {

          modsecurity on;
          modsecurity_rules '
            SecRuleEngine On
            SecDebugLog /tmp/modsec_debug.log
            # Debug Levels are 3,4,5,9
            SecDebugLogLevel 3
            # The below rules are disabled, else keycloak does not work at paranoia level 5
            SecRuleRemoveById 942432 920273 942421 942420
          ';
          proxy_set_header    Host               $http_host;
          proxy_set_header    X-Real-IP          $remote_addr;
          proxy_set_header    X-Forwarded-For    $proxy_add_x_forwarded_for;
          proxy_set_header    Cookie              $http_cookie;
          proxy_set_header    X-Forwarded-Host   $host;
          proxy_set_header    X-Forwarded-Server $host;
          proxy_set_header    X-Forwarded-Port   $server_port;
          proxy_set_header    X-Forwarded-Proto  $scheme;
          proxy_pass http://keycloak:8080;
        }
    }

Das musste ich tun

Ändern:

          proxy_set_header    X-Forwarded-Proto  $scheme;

Zu:

          proxy_set_header    X-Forwarded-Proto  https;

Ergebnis

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"https://modsec.redacted.com:80/auth/realms/master","authorization_endpoint":"https://modsec.redacted.com:80/auth/realms/master/protocol/openid-connect/auth"

Sehen Sie, was passiert ist?

Ändern Sie dann:

          proxy_set_header    X-Forwarded-Port   $server_port;

Zu:

          proxy_set_header    X-Forwarded-Proto  443;

Oder nehmen Sie es vollständig heraus.

Ergebnis

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"https://modsec.redacted.com/auth/realms/master","authorization_endpoint":"https://modsec.redacted.com/auth/realms/master/protocol/openid-connect/auth",

Ihre Admin-Konsole wird ebenfalls funktionieren. Ich bin überzeugt, dass Nginx die richtigen Variablen dafür hat ($request_scheme oder vielleicht $client_scheme?).

Das ist es!

Answer 1

Ich weiß, das ist alt, aber es bleibt unbeantwortet, und wenn man sich die Anzahl der Aufrufe ansieht, kommt das immer wieder vor. Ich gehe davon aus, dass viele, viele Leute irgendwann selbst eine Antwort finden, aber nichts posten, also werde ich posten, was bei mir funktioniert hat.

Typisches Szenario Internet -> HTTPS -> ModSecNginx -> HTTP -> Keycloak

Keycloak 4.4.0 ModSecurity-nginx v1.0.0 (Regeln inline/lokal/remote geladen: 0/903/0)

Ich hatte dasselbe Problem, nachdem ich „alles“ gemacht hatte, Keycloak-Proxy-Forward-True, Nginx-Empfehlungen usw. usw.

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"http://modsec.redacted.com/auth/realms/master","authorization_endpoint":"http://modsec.redacted.com/auth/realms/master/protocol/openid-connect/auth"....

Konfiguration

    server
    {
      listen 80;
      listen [::]:80;
      location /
        {

          modsecurity on;
          modsecurity_rules '
            SecRuleEngine On
            SecDebugLog /tmp/modsec_debug.log
            # Debug Levels are 3,4,5,9
            SecDebugLogLevel 3
            # The below rules are disabled, else keycloak does not work at paranoia level 5
            SecRuleRemoveById 942432 920273 942421 942420
          ';
          proxy_set_header    Host               $http_host;
          proxy_set_header    X-Real-IP          $remote_addr;
          proxy_set_header    X-Forwarded-For    $proxy_add_x_forwarded_for;
          proxy_set_header    Cookie              $http_cookie;
          proxy_set_header    X-Forwarded-Host   $host;
          proxy_set_header    X-Forwarded-Server $host;
          proxy_set_header    X-Forwarded-Port   $server_port;
          proxy_set_header    X-Forwarded-Proto  $scheme;
          proxy_pass http://keycloak:8080;
        }
    }

Das musste ich tun

Ändern:

          proxy_set_header    X-Forwarded-Proto  $scheme;

Zu:

          proxy_set_header    X-Forwarded-Proto  https;

Ergebnis

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"https://modsec.redacted.com:80/auth/realms/master","authorization_endpoint":"https://modsec.redacted.com:80/auth/realms/master/protocol/openid-connect/auth"

Sehen Sie, was passiert ist?

Ändern Sie dann:

          proxy_set_header    X-Forwarded-Port   $server_port;

Zu:

          proxy_set_header    X-Forwarded-Proto  443;

Oder nehmen Sie es vollständig heraus.

Ergebnis

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"https://modsec.redacted.com/auth/realms/master","authorization_endpoint":"https://modsec.redacted.com/auth/realms/master/protocol/openid-connect/auth",

Ihre Admin-Konsole wird ebenfalls funktionieren. Ich bin überzeugt, dass Nginx die richtigen Variablen dafür hat ($request_scheme oder vielleicht $client_scheme?).

Das ist es!

So richten Sie Keycloak hinter einem HTTPS-Server ein

Antwort1

verwandte Informationen