ProHoster > Blog > podávání > Připevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

Připevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

Tento článek byl napsán s cílem rozšířit již existující, ale hovoří o funkcích balíčku s Microsoft ActiveDirectory a také jej doplňuje.

V tomto článku vám řeknu, jak nainstalovat a nakonfigurovat:

  • Klíčenka je projekt s otevřeným zdrojovým kódem. Což poskytuje jediný vstupní bod pro aplikace. Pracuje s mnoha protokoly, včetně LDAP a OpenID, které nás zajímají.
  • klíčový vrátný - aplikace reverzní proxy, která vám umožní integrovat autorizaci přes Keycloak.
  • Ulička - aplikace, která generuje konfiguraci pro kubectl, pomocí které se můžete přihlásit a připojit se k Kubernetes API přes OpenID.

Jak fungují oprávnění v Kubernetes.

Uživatelská / skupinová práva můžeme spravovat pomocí RBAC, o tom již bylo vytvořeno mnoho článků, nebudu se tím podrobně zabývat. Problém je v tom, že pomocí RBAC můžete omezit uživatelská práva, ale Kubernetes o uživatelích nic neví. Ukázalo se, že v Kubernetes potřebujeme mechanismus doručování uživatelů. K tomu přidáme do Kuberntes OpenID poskytovatele, který řekne, že takový uživatel skutečně existuje, a sám Kubernetes mu dá práva.

Trénink

  • Budete potřebovat cluster Kubernetes nebo minikube
  • Active Directory
  • domény:
    keycloak.example.org
    kubernetes-dashboard.example.org
    gangway.example.org
  • Certifikát pro domény nebo certifikát s vlastním podpisem

Nebudu se zdržovat tím, jak vytvořit self-signed certifikát, je potřeba vytvořit 2 certifikáty, toto je root (Certifikační autorita) a zástupný klient pro doménu *.example.org

Poté, co obdržíte / vydáte certifikáty, musí být klient přidán do Kubernetes, proto pro něj vytvoříme tajemství:

kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem

Dále jej použijeme pro náš Ingress controller.

Instalace krytu na klíče

Rozhodl jsem se, že nejjednodušší je k tomu použít hotová řešení, a to kormidelní tabulky.

Nainstalujte úložiště a aktualizujte jej:

helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update

Vytvořte soubor keycloak.yml s následujícím obsahem:

keycloak.yml

keycloak:
  # Имя администратора
  username: "test_admin"
  # Пароль администратор  
  password: "admin"
  # Эти флаги нужны что бы позволить загружать в Keycloak скрипты прямо через web морду. Это нам 
  понадобиться что бы починить один баг, о котором ниже.
  extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled" 
  # Включаем ingress, указываем имя хоста и сертификат который мы предварительно сохранили в secrets
  ingress:
    enabled: true 
    path: /
    annotations:
      kubernetes.io/ingress.class: nginx
      ingress.kubernetes.io/affinity: cookie
    hosts:
      - keycloak.example.org
    tls:
    - hosts:
        - keycloak.example.org
      secretName: tls-keycloak
  # Keycloak для своей работы требует базу данных, в тестовых целях я разворачиваю Postgresql прямо в Kuberntes, в продакшене так лучше не делать!
  persistence:
    deployPostgres: true
    dbVendor: postgres

postgresql:
  postgresUser: keycloak
  postgresPassword: ""
  postgresDatabase: keycloak
  persistence:
    enabled: true

Nastavení federace

Dále přejděte do webového rozhraní keycloak.example.org

Klikněte do levého rohu Přidat sféru

Klíč
Hodnota

Příjmení
guvernéři

Display Name
Kubernetes

Zakázat ověření e-mailu uživatele:
Rozsahy klientů —> E-mail —> Mapovače —> E-mail ověřen (smazat)

Nastavili jsme federaci pro import uživatelů z ActiveDirectory, screenshoty nechám níže, myslím, že to bude přehlednější.

Federace uživatelů —> Přidat poskytovatele… —> ldap

Nastavení federacePřipevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak
Připevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

Pokud je vše v pořádku, tak po stisknutí tlačítka Synchronizovat všechny uživatele zobrazí se zpráva o úspěšném importu uživatelů.

Dále musíme zmapovat naše skupiny

Federace uživatelů --> ldap_localhost --> Mappers --> Vytvořit

Vytvoření mapovačePřipevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

Nastavení klienta

Je potřeba vytvořit klienta, z hlediska Keycloaku se jedná o aplikaci, která bude od něj autorizována. Důležité body na snímku obrazovky zvýrazním červeně.

Klienti —> Vytvořit

Nastavení klientaPřipevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

Vytvořme scoupe pro skupiny:

Rozsahy klienta —> Vytvořit

Vytvořte rozsahPřipevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

A nastavte pro ně mapovač:

Klientské obory —> skupiny —> Mapovače —> Vytvořit

MapperPřipevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

Přidejte mapování našich skupin do výchozích rozsahů klientů:

Klienti —> kubernetes —> Rozsahy klienta —> Výchozí rozsahy klienta
vybrat skupiny в Dostupné klientské rozsahyklikněte Přidat vybrané

Získáme tajemství (a zapíšeme ho do vlákna), které použijeme pro autorizaci v Keycloak:

Klienti —> kubernetes —> Přihlašovací údaje —> Tajné
Tím je nastavení dokončeno, ale došlo k chybě, když jsem po úspěšné autorizaci obdržel chybu 403. Hlášení chyby.

Opravit:

Rozsahy klientů —> role —> Mapovači —> Vytvořit

MapperPřipevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

Kód skriptu

// add current client-id to token audience
token.addAudience(token.getIssuedFor());

// return token issuer as dummy result assigned to iss again
token.getIssuer();

Konfigurace Kubernetes

Musíme určit, kde leží náš kořenový certifikát z webu a kde se nachází poskytovatel OIDC.
Chcete-li to provést, upravte soubor /etc/kubernetes/manifests/kube-apiserver.yaml

kube-apiserver.yaml


...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

Aktualizujte konfiguraci kubeadm v clusteru:

kubeadmconfig

kubectl edit -n kube-system configmaps kubeadm-config


...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

Nastavení auth-proxy

K ochraně vaší webové aplikace můžete použít keycloak gatekeeper. Kromě toho, že tento reverzní proxy provede autorizaci uživatele před zobrazením stránky, předá v hlavičkách informace o vás i koncové aplikaci. Pokud tedy vaše aplikace podporuje OpenID, uživatel je okamžitě autorizován. Zvažte příklad Kubernetes Dashboard

Instalace Kubernetes Dashboard


helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml

value_dashboard.yaml

enableInsecureLogin: true
service:
  externalPort: 80
rbac:
  clusterAdminRole: true
  create: true
serviceAccount:
  create: true
  name: 'dashboard-test'

Nastavení přístupových práv:

Pojďme vytvořit ClusterRoleBinding, který poskytne uživatelům ve skupině DataOPS práva správce clusteru (standardní ClusterRole cluster-admin).


kubectl apply -f rbac.yaml

rbac.yaml


apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dataops_group
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: DataOPS

Nainstalujte keycloak gatekeeper:


helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml

value_proxy.yaml



# Включаем ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
  path: /
  hosts:
    - kubernetes-dashboard.example.org
  tls:
   - secretName: tls-keycloak
     hosts:
       - kubernetes-dashboard.example.org

# Говорим где мы будем авторизовываться у OIDC провайдера
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# Имя клиента которого мы создали в Keycloak
ClientID: "kubernetes"
# Secret который я просил записать
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Куда перенаправить в случае успешной авторизации. Формат <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# Пропускаем проверку сертификата, если у нас самоподписанный
skipOpenidProviderTlsVerify: true
# Настройка прав доступа, пускаем на все path если мы в группе DataOPS
rules:
  - "uri=/*|groups=DataOPS"

Poté, když se pokusíte jít do kubernetes-dashboard.example.org, budeme přesměrováni na Keycloak a v případě úspěšné autorizace se dostaneme na Dashboard již přihlášeni.

instalace lávky

Pro pohodlí můžete přidat gangway, která vygeneruje konfigurační soubor pro kubectl, s jehož pomocí se dostaneme do Kubernetes pod naším uživatelem.


helm install --name gangway stable/gangway -f values_gangway.yaml

value_gangway.yaml


gangway:
  # Произвольное имя кластера
  clusterName: "my-k8s"
  # Где у нас OIDC провайдер
  authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
  tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
  audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
  # Теоритически сюда можно добавить groups которые мы замапили
  scopes: ["openid", "profile", "email", "offline_access"]
  redirectURL: "https://gangway.example.org/callback"
  # Имя клиента
  clientID: "kubernetes"
  # Секрет
  clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
  # Если оставить дефолтное значние, то за имя пользователя будет братья <b>Frist name</b> <b>Second name</b>, а при "sub" его логин
  usernameClaim: "sub"
  # Доменное имя или IP адресс API сервера
  apiServerURL: "https://192.168.99.111:8443"

# Включаем Ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
  path: /
  hosts:
  - gangway.example.org
  tls:
  - secretName: tls-keycloak
    hosts:
      - gangway.example.org

# Если используем самоподписанный сертификат, то его(открытый корневой сертификат) надо указать.
trustedCACert: |-
 -----BEGIN CERTIFICATE-----
 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
 -----END CERTIFICATE-----

Vypadá to takhle. Umožňuje vám okamžitě stáhnout konfigurační soubor a vygenerovat jej pomocí sady příkazů:

Připevňujeme autorizaci ActiveDirectory ke Kubernetes pomocí Keycloak

Zdroj: www.habr.com

Přidat komentář