Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Настройка CA-сертификата LDAP

Данная инструкция описывает настройку доверия Keycloak к CA-сертификату LDAP-сервера для использования LDAPS в zVirt DC Manager.

CA-сертификат хранится в StarVault.

1. Подготовка секрета в StarVault

  1. Перейдите в StarVault по ссылке starvault/deployment/keycloak.

    ldap settings 1
  2. Нажмите Create new version.

  3. В блоке starvault-keycloak-ADD:

    1. Назовите секцию cacert.

    2. Добавьте CA-сертификат, который будет использоваться для LDAPS.

      ldap settings 1 cacert

2. Изменение конфигурации Keycloak

Чтобы изменить конфигурацию Keycloak, на управляющем хосте выполните действия:

  1. В редакторе vim откройте файл: /portal-box/files/helmfile_deploy/helmfile/portal-box/keycloakx/values.yaml.gotmpl для редактирования:

    vim /portal-box/files/helmfile_deploy/helmfile/portal-box/keycloakx/values.yaml.gotmpl
  2. В секцию extraEnv добавьте ключ-значение:

    extraEnv:
      - name: KC_TRUSTSTORE_PATHS
        value: "/opt/keycloak/conf/truststores"
    ldap settings 2
  3. В секцию extraVolumes добавьте том с сертификатами:

    extraVolumes:
      - name: ca-certs
        projected:
          sources:
            - secret:
                name: '{{`{{ include "keycloak.fullname" . }}`}}-cacert'
    ldap settings 3
  4. В секцию extraVolumeMounts добавьте монтирование тома:

    extraVolumeMounts:
      - name: ca-certs
        mountPath: "/opt/keycloak/conf/truststores"
    ldap settings 4
  5. В секцию secrets добавьте описание CA-сертификата:

    secrets:
      cacert:
        stringData:
          .cacert: |
            ref+vault://deployment/keycloak#/cacert
    ldap settings 5

3. Применение изменений

Запустите повторную сборку Keycloak. Для этого на управляющем хосте выполните команду:

portal-box/manage-tool.sh --install --ssh-private-key ~/.ssh/id_ed25519 --tags kubeconfig,keycloak

После завершения повторной установки Keycloak будет использовать указанный CA-сертификат для LDAPS-подключений.