Настройка CA-сертификата LDAP
Данная инструкция описывает настройку доверия Keycloak к CA-сертификату LDAP-сервера для использования LDAPS в zVirt DC Manager.
CA-сертификат хранится в StarVault.
1. Подготовка секрета в StarVault
-
Перейдите в StarVault по ссылке starvault/deployment/keycloak.
-
Нажмите Create new version.
-
В блоке starvault-keycloak-ADD:
-
Назовите секцию cacert.
-
Добавьте CA-сертификат, который будет использоваться для LDAPS.
-
2. Изменение конфигурации Keycloak
Чтобы изменить конфигурацию Keycloak, на управляющем хосте выполните действия:
-
В редакторе vim откройте файл: /portal-box/files/helmfile_deploy/helmfile/portal-box/keycloakx/values.yaml.gotmpl для редактирования:
vim /portal-box/files/helmfile_deploy/helmfile/portal-box/keycloakx/values.yaml.gotmpl -
В секцию
extraEnvдобавьте ключ-значение:extraEnv: - name: KC_TRUSTSTORE_PATHS value: "/opt/keycloak/conf/truststores"
-
В секцию
extraVolumesдобавьте том с сертификатами:extraVolumes: - name: ca-certs projected: sources: - secret: name: '{{`{{ include "keycloak.fullname" . }}`}}-cacert'
-
В секцию
extraVolumeMountsдобавьте монтирование тома:extraVolumeMounts: - name: ca-certs mountPath: "/opt/keycloak/conf/truststores"
-
В секцию
secretsдобавьте описание CA-сертификата:secrets: cacert: stringData: .cacert: | ref+vault://deployment/keycloak#/cacert
3. Применение изменений
Запустите повторную сборку Keycloak. Для этого на управляющем хосте выполните команду:
portal-box/manage-tool.sh --install --ssh-private-key ~/.ssh/id_ed25519 --tags kubeconfig,keycloak
После завершения повторной установки Keycloak будет использовать указанный CA-сертификат для LDAPS-подключений.