Como configurar o Keycloak atrás do servidor HTTPS

Question

Eu sei que isso é antigo, mas permanece sem resposta e, olhando para a contagem de visualizações, isso surge repetidamente. Presumo que muitas pessoas eventualmente encontrem uma resposta sozinhas, mas não postem, então postarei o que funcionou para mim.

Cenário típico Internet -> HTTPS -> ModSecNginx -> HTTP -> Keycloak

Keycloak 4.4.0 ModSecurity-nginx v1.0.0 (regras carregadas inline/local/remota: 0/903/0)

Eu tive esse problema idêntico depois de fazer "tudo", keycloak proxy forward true, recomendações nginx .. etc etc.

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"http://modsec.redacted.com/auth/realms/master","authorization_endpoint":"http://modsec.redacted.com/auth/realms/master/protocol/openid-connect/auth"....

Configuração

    server
    {
      listen 80;
      listen [::]:80;
      location /
        {

          modsecurity on;
          modsecurity_rules '
            SecRuleEngine On
            SecDebugLog /tmp/modsec_debug.log
            # Debug Levels are 3,4,5,9
            SecDebugLogLevel 3
            # The below rules are disabled, else keycloak does not work at paranoia level 5
            SecRuleRemoveById 942432 920273 942421 942420
          ';
          proxy_set_header    Host               $http_host;
          proxy_set_header    X-Real-IP          $remote_addr;
          proxy_set_header    X-Forwarded-For    $proxy_add_x_forwarded_for;
          proxy_set_header    Cookie              $http_cookie;
          proxy_set_header    X-Forwarded-Host   $host;
          proxy_set_header    X-Forwarded-Server $host;
          proxy_set_header    X-Forwarded-Port   $server_port;
          proxy_set_header    X-Forwarded-Proto  $scheme;
          proxy_pass http://keycloak:8080;
        }
    }

Isso é o que eu tive que fazer

Mudar:

          proxy_set_header    X-Forwarded-Proto  $scheme;

para:

          proxy_set_header    X-Forwarded-Proto  https;

Resultado

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"https://modsec.redacted.com:80/auth/realms/master","authorization_endpoint":"https://modsec.redacted.com:80/auth/realms/master/protocol/openid-connect/auth"

Você viu o que aconteceu?

Então mude:

          proxy_set_header    X-Forwarded-Port   $server_port;

para:

          proxy_set_header    X-Forwarded-Proto  443;

Ou retire-o completamente.

Resultado

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"https://modsec.redacted.com/auth/realms/master","authorization_endpoint":"https://modsec.redacted.com/auth/realms/master/protocol/openid-connect/auth",

Seu console de administração também começará a funcionar. Estou convencido de que o Nginx possui as variáveis adequadas para isso ($request_scheme ou $client_scheme talvez?).

É isso!

Answer 1

Eu sei que isso é antigo, mas permanece sem resposta e, olhando para a contagem de visualizações, isso surge repetidamente. Presumo que muitas pessoas eventualmente encontrem uma resposta sozinhas, mas não postem, então postarei o que funcionou para mim.

Cenário típico Internet -> HTTPS -> ModSecNginx -> HTTP -> Keycloak

Keycloak 4.4.0 ModSecurity-nginx v1.0.0 (regras carregadas inline/local/remota: 0/903/0)

Eu tive esse problema idêntico depois de fazer "tudo", keycloak proxy forward true, recomendações nginx .. etc etc.

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"http://modsec.redacted.com/auth/realms/master","authorization_endpoint":"http://modsec.redacted.com/auth/realms/master/protocol/openid-connect/auth"....

Configuração

    server
    {
      listen 80;
      listen [::]:80;
      location /
        {

          modsecurity on;
          modsecurity_rules '
            SecRuleEngine On
            SecDebugLog /tmp/modsec_debug.log
            # Debug Levels are 3,4,5,9
            SecDebugLogLevel 3
            # The below rules are disabled, else keycloak does not work at paranoia level 5
            SecRuleRemoveById 942432 920273 942421 942420
          ';
          proxy_set_header    Host               $http_host;
          proxy_set_header    X-Real-IP          $remote_addr;
          proxy_set_header    X-Forwarded-For    $proxy_add_x_forwarded_for;
          proxy_set_header    Cookie              $http_cookie;
          proxy_set_header    X-Forwarded-Host   $host;
          proxy_set_header    X-Forwarded-Server $host;
          proxy_set_header    X-Forwarded-Port   $server_port;
          proxy_set_header    X-Forwarded-Proto  $scheme;
          proxy_pass http://keycloak:8080;
        }
    }

Isso é o que eu tive que fazer

Mudar:

          proxy_set_header    X-Forwarded-Proto  $scheme;

para:

          proxy_set_header    X-Forwarded-Proto  https;

Resultado

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"https://modsec.redacted.com:80/auth/realms/master","authorization_endpoint":"https://modsec.redacted.com:80/auth/realms/master/protocol/openid-connect/auth"

Você viu o que aconteceu?

Então mude:

          proxy_set_header    X-Forwarded-Port   $server_port;

para:

          proxy_set_header    X-Forwarded-Proto  443;

Ou retire-o completamente.

Resultado

curl https://modsec.redacted.com/auth/realms/master/.well-known/openid-configuration
{"issuer":"https://modsec.redacted.com/auth/realms/master","authorization_endpoint":"https://modsec.redacted.com/auth/realms/master/protocol/openid-connect/auth",

Seu console de administração também começará a funcionar. Estou convencido de que o Nginx possui as variáveis adequadas para isso ($request_scheme ou $client_scheme talvez?).

É isso!

Como configurar o Keycloak atrás do servidor HTTPS

Responder1

informação relacionada