Прикручиваем LDAP-авторизацию к Kubernetes

[@ziza1112]

Как вы решили вопрос создания новых пользователей во freeipa? ldap freeipa не позволяет создавать новых пользователей, только изменять или удалять.

[@kvaps]

Очень странное заявление, разумеется FreeIPA позволяет как создавать так и удалять пользователей, все это делается через интерфейс FreeIPA либо через CLI

www.freeipa.org/page/Quick_Start_Guide#Adding_your_first_user

[@ziza1112]

Все правильно. Но! все пользователи должны быть прописаны на сервере FreeIPA и только потом смогут авторизироваться в Keycloak. Но если дать возможность регистрации напрямую через Keycloak — новый пользователь не попадает на FreeIPA сервер ldap.
И допустим Identity Providers google(G Suite) не актуален. Хотелось бы вносить новых пользователей напрямую через Keycloak.

[@RomanKu]

В вашем конкретном случае может быть и востребовано, но я смутно представляю зачем такое надо использовать. В моем случае FreeIPA является источником первичной информации о пользователях, либо же может быть AD и далее, уже KeyCloak и прочие продукты являются потребителями этой информации. Зачем заводить левых пользователей из гугла в ипе? Лично я наоборот прикрутил федерацию гугла с FreeIPA и пользователь не попадет в гугл пока не будет создан в первичной базе.

[@stripe]

А есть ли какая-нибудь достойная альтернатива keycloak? для домашних проэктов например?

[@kvaps]

Есть DEX, либо можно сразу использовать публичные OIDC-провайдеры, например Google.

[@mobilesfinks]

Все что вам нужно это положить CA-сертификат вашего OIDC-сервера в /etc/kubernetes/pki/oidc-ca.pem

* А что это за CA сертификат? Откуда его взять.
* OIDC сервер это же keycloak? (Если я верно понимаю)

[@chemtech]

Спасибо за пост. Напишите зачем пользователям (скорее всего разработчикам) ходить в kubernetes? Для мониторинга, логов есть grafana, kibana и так далее.