BlackEric00121 апр в 15:21

Особенности архитектуры сетевой системы защиты информации с применением Keycloak

Средний

7 мин

7.4K

DevOps * IT-инфраструктура * Информационная безопасность * Сетевые технологии * Системное администрирование *

Мнение

Комментарии 6

Granulex 21 апр в 19:41

Keycloak в схеме с LDAP/AD — одна из немногих зрелых open-source альтернатив проприетарным IAM. Но кластеризация без правильной репликации сессий превращает «отказоустойчивый» деплой в иллюзию: все ноды живые, а сессии теряются при переключении. Отдельный административный контур для Keycloak — правило, которое почему-то игнорируют до первого инцидента.

BlackEric001 21 апр в 19:47

Да, после того как Identity Server стал платным пришлось перейти на Keycloak.

А отдельный контур - это железо которого всегда не хватает. Поэтому так.

Granulex 21 апр в 19:54

Понятно, реальность диктует компромиссы. Если отдельного железа нет — хотя бы отдельный VLAN для admin-интерфейса с жёсткими ACL, это уже снижает поверхность атаки. А с переходом с Identity Server интересно — там же форматы токенов разные, как решали совместимость для уже выданных сессий?

BlackEric001 21 апр в 20:20

Никак. Все перелогинились и всё. У нас это не проблема.

BigD 22 апр в 19:12

А как посадить только админ интерфейс на отдельный VLAN? Через второй сетевой интерфейс?

BlackEric001 22 апр в 19:41

Да

Зарегистрируйтесь на Хабре, чтобы оставить комментарий