Когда внедряли клиентские сертификаты (mTLS), то действительно на винде сходу не работало. Только указав версию TLS на реверс-прокси, браузеры на винде стали выдавать заветное окно запроса клиентского серта. Таких проблем на линуксе и маке не было.
Клиентские сертификаты хранятся на внешних токенах (но при желании, можно хранить и на обычной флешке в шифрованном виде). Сертификат проверяется в двух местах: на балансировщике/ingress-ноде и в самом keycloak.
Для пользователя это обычное окно в браузере с выбором сертификата.
Как это всё настроить расскажу в будущей статье.
После всех настроек, админка кейклока нужна редко...поэтому если есть возможность ее закрыть, то лучше закрыть
Цель была наоборот сделать так что бы админки не было на игресс-контроллере
Да, это сработает, если по пути нет nat-ов) Идея интересная и применима не только в данном кейсе, спасибо)
Когда внедряли клиентские сертификаты (mTLS), то действительно на винде сходу не работало. Только указав версию TLS на реверс-прокси, браузеры на винде стали выдавать заветное окно запроса клиентского серта. Таких проблем на линуксе и маке не было.
Клиентские сертификаты хранятся на внешних токенах (но при желании, можно хранить и на обычной флешке в шифрованном виде). Сертификат проверяется в двух местах: на балансировщике/ingress-ноде и в самом keycloak.
Для пользователя это обычное окно в браузере с выбором сертификата.
Как это всё настроить расскажу в будущей статье.