Комментарии 8
Как вы решили вопрос создания новых пользователей во freeipa? ldap freeipa не позволяет создавать новых пользователей, только изменять или удалять.
Очень странное заявление, разумеется FreeIPA позволяет как создавать так и удалять пользователей, все это делается через интерфейс FreeIPA либо через CLI
www.freeipa.org/page/Quick_Start_Guide#Adding_your_first_user
www.freeipa.org/page/Quick_Start_Guide#Adding_your_first_user
Все правильно. Но! все пользователи должны быть прописаны на сервере FreeIPA и только потом смогут авторизироваться в Keycloak. Но если дать возможность регистрации напрямую через Keycloak — новый пользователь не попадает на FreeIPA сервер ldap.
И допустим Identity Providers google(G Suite) не актуален. Хотелось бы вносить новых пользователей напрямую через Keycloak.
И допустим Identity Providers google(G Suite) не актуален. Хотелось бы вносить новых пользователей напрямую через Keycloak.
В вашем конкретном случае может быть и востребовано, но я смутно представляю зачем такое надо использовать. В моем случае FreeIPA является источником первичной информации о пользователях, либо же может быть AD и далее, уже KeyCloak и прочие продукты являются потребителями этой информации. Зачем заводить левых пользователей из гугла в ипе? Лично я наоборот прикрутил федерацию гугла с FreeIPA и пользователь не попадет в гугл пока не будет создан в первичной базе.
А есть ли какая-нибудь достойная альтернатива keycloak? для домашних проэктов например?
Все что вам нужно это положить CA-сертификат вашего OIDC-сервера в /etc/kubernetes/pki/oidc-ca.pem
* А что это за CA сертификат? Откуда его взять.
* OIDC сервер это же keycloak? (Если я верно понимаю)
Спасибо за пост. Напишите зачем пользователям (скорее всего разработчикам) ходить в kubernetes? Для мониторинга, логов есть grafana, kibana и так далее.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Прикручиваем LDAP-авторизацию к Kubernetes