Ich versuche, die folgende Architektur einzurichten, habe aber Schwierigkeiten:
Keycloak-Container mit diesem Image jboss/keycloak:7.0.0
Apache mit mod_auth_openidc
Der Apache hat ein geschütztes Verzeichnis
Apache führt eine SSL-Client-Authentifizierung durch
Ich möchte folgendes Szenario konfigurieren:
Ein Benutzer besucht meine Website/Demo
Apache fordert ihn auf, sich mit seinem Zertifikat zu authentifizieren
Apache leitet die Informationen an Keycloak weiter
Keycloak verwendet X509/Validate Username zur Validierung des Zertifikats (CN)
Geben Sie die Ressource nach der Authentifizierung an den Benutzer zurück.
Ich habe die folgende Konfiguration für den Apache-Vhost:
Listen 8081 https
<VirtualHost *:8081>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html/
SSLEngine on
SSLCipherSuite HIGH
SSLProtocol all -SSLv3 -TLSv1.3
SSLCertificateFile /etc/apache2/ssl/serv.crt
SSLCertificateKeyFile /etc/apache2/ssl/serv.key
SSLCACertificateFile /etc/apache2/ssl/ca.crt
<Location /pdf >
ProxyPass http://mywebsite:5001/pdf
ProxyPassReverse http://mywebsite:5001/pdf
</Location>
#RequestHeader set CERT_CHAIN ""
RequestHeader set SSL_CLIENT_CERT ""
OIDCCryptoPassphrase passphrase
OIDCProviderMetadataURL https://mywebsite:9004/auth/realms/demorealm/.well-known/openid-configuration
OIDCClientID demo2
OIDCClientSecret e6dc781f-49c0-4cfa-9cde-411f9d8bc2cb
OIDCSSLValidateServer Off
OIDCRedirectURI https://mywebsite:9998/demo2/redirect
OIDCRemoteUserClaim preferred_username
OIDCInfoHook access_token id_token userinfo session
<Location /demo2 >
SSLVerifyClient require
SSLVerifyDepth 2
#RequestHeader set SSL_CLIENT_CERT_CHAIN_0 "%{{CERT_CHAIN}}s"
RequestHeader set SSL_CLIENT_CERT "%{SSL_CLIENT_CERT}s"
#Require ssl
AuthType openid-connect
Require valid-user
Loglevel debug
</Location>
</VirtualHost>
Beim Keycloak-Container bin ich mir nicht sicher, ob der Container meine standalone.xml berücksichtigt, wenn ich sie anstelle der Standarddatei mounte. Daher habe ich die folgenden JBoss-Befehle ausgeführt:
/subsystem=keycloak-server/spi=x509cert-lookup:write-attribute(name=standardanbieter, wert="apache") /subsystem=keycloak-server/spi=x509cert-lookup/provider=apache:write-attribute(name=properties.sslClientCert,value="SSL_CLIENT_CERT") /subsystem=keycloak-server/spi=x509cert-lookup/provider=apache:write-attribute(name=properties.sslCertChainPrefix,value="CERT_CHAIN") /subsystem=keycloak-server/spi=x509cert-lookup/provider=apache:write-attribute(name=properties.certificateChainLength,value="10") :neu laden
Mein Keycloak ist wie folgt konfiguriert: Client-Weiterleitungen:
Und der Authentifizierungsablauf:
Konfigurationsausführungsauthentifikator
Aber wenn ich die Website besuche, erhalte ich als Benutzer „Team XYZ“ mit dem Zertifikat CN „Team XYZ“ diesen Fehler:
{"error_description":"X509 client certificate is missing.","error":"invalid_request"}
Keycloak-Protokolle:
21:10:24,178 WARN [org.keycloak.services.x509.AbstractClientCertificateFromHttpHeadersLookup] (default task-49) HTTP header "SSL_CLIENT_CERT" is empty
20:09:48,062 WARN [org.keycloak.events] (default task-9) type=LOGIN_ERROR, realmId=5c005f6f-a912-4788-bf53-345551eb0e01, clientId=demo2, userId=null, ipAddress=Dummy, error=user_not_found, auth_method=openid-connect, auth_type=code, response_type=code, redirect_uri=https://mywebsite:9998/demo2/redirect, code_id=d2b3aecf-0a53-4d3a-85fd-3433aee61d61, response_mode=query, authSessionParentId=d2b3aecf-0a53-4d3a-85fd-3433aee61d61, authSessionTabId=FqOsf6BrEBk
Kann mir bitte jemand helfen? Ich stecke jetzt schon seit Tagen fest.
Antwort1
In einer Kubernetes-Umgebung funktioniert die folgende Lösung
nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
nginx.ingress.kubernetes.io/proxy-ssl-secret: "mynamespace/backend-x509-secret"
nginx.ingress.kubernetes.io/proxy-ssl-verify: "on"
nginx.ingress.kubernetes.io/proxy-ssl-verify-depth: "2"
nginx.ingress.kubernetes.io/auth-tls-secret: "mynamespace/backend-x509-secret"
nginx.ingress.kubernetes.io/auth-tls-verify-client: "optional"
nginx.ingress.kubernetes.io/auth-tls-verify-depth: "2"
nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "true"
wobei mynamespace/backend-x509-secret aus einer kustomization.yaml generiert wird
secretGenerator:
- name: backend-x509-secret
files:
- tls.crt
- tls.key
- ca.crt
wobei tls.crt,tls.key,ca.crt meine eigenen selbst signierten und für die Keycloak X509-Autorisierung verwendeten CA-Zertifikate sind, während mein Nginx ein Let’s Encrypt-Zertifikat verwendet.
Anschließend wird die Keycloak-Konfigurationsdatei standalone.xml oder standalone-ha.xml beim Start mit der folgenden CLI-Datei aktualisiert
/subsystem=keycloak-server/spi=x509cert-lookup:write-attribute(name=default-provider, value="nginx")
/subsystem=keycloak-server/spi=x509cert-lookup/provider=default:remove
/subsystem=keycloak-server/spi=x509cert-lookup/provider=nginx:add(enabled=true,properties={sslClientCert => "ssl-client-cert", sslCertChainPrefix => "USELESS", certificateChainLength => "2"})
Sie können Ihre Keycloak-Konfiguration auch dynamisch ändern mit
$JBOSS_HOME/bin/jboss-cli.sh --connect --command='/subsystem=keycloak-server/spi=x509cert-lookup:write-attribute(name=default-provider, value="nginx")'
$JBOSS_HOME/bin/jboss-cli.sh --connect --command='/subsystem=keycloak-server/spi=x509cert-lookup/provider=default:remove'
$JBOSS_HOME/bin/jboss-cli.sh --connect --command='/subsystem=keycloak-server/spi=x509cert-lookup/provider=nginx:add(enabled=true,properties={ sslClientCert => "ssl-client-cert", sslCertChainPrefix => "USELESS", certificateChainLength => "2"})'
$JBOSS_HOME/bin/jboss-cli.sh --connect --command=':reload'