Keycloak的生产环境配置

已于 2023-09-25 15:41:14 修改
阅读量1.3k 收藏 4
点赞数
CC 4.0 BY-SA版权
文章标签: docker 网络安全 开源软件
于 2023-09-15 09:04:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MaxSamMax/article/details/132884145

       最近在研究sso,看到有推荐keycloak的,但大部分文章都是介绍开发模式,很少见到介绍生产模式的,特地做了个docker环境下keycloak生产模式的测试,验证可行。

      keycloak的安装比较简单,下面是基于docker环境下的安装配置

操作系统环境:centos7.9

数据库环境:Oracle19c

1、准备工作

1.1 创建几个文件夹如下:

/test/keycloak/conf    #用于映射容器的conf文件夹,配置文件就在里面

/test/keycloak/providers  #存放额外的服务提供插件及相关依赖,比如用户认证流、协议映射器之类

/test/keycloak/themes     #存放自定义的主题

/test/keycloak/logs        #日志

/test/keycloak/certs      #存放密钥库

1.2 创建一个数据库。在生产环境下,使用外部数据库比较稳妥,这里用Oracle19c容器数据库,创建一个pdb,创建一个用户。相关的表将在安装时自动创建。

1.3 使用keytool在certs文件夹创建一个keystore

keytool -genkeypair -alias 你女朋友的名字 -keystore keycloak.p12 -keyalg RSA -storepass 你女朋友的生日 -storetype pkcs12 -v

生成p12文件,keycloak规定start方式(即生产模式)启动下的实例必须开启https,所以需要用到这个文件。当然,你用openssl生成相关的密钥对也可以,keytool相对少些步骤。

1.4 拉镜像,用开发模式先启动一下

docker pull quay.io/keycloak/keycloak:22.0.3

#先用start-dev运行一下

docker run -p 8080:8080 --name keycloak -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:22.0.3 start-dev

 先运行一下是为了让它生成基本的conf文件,不用自己写那么多^_^

2. 配置

2.1 把容器里的配置文件复制出来(在容器的/opt/keycloak/conf下)

docker container cp keycloak:/opt/keycloak/conf /test/keycloak/

 2.2 复制完后该容器可以不要了,调整配置文件,增加如下内容:

db=oracle
db-username=数据库用户
db-password=密码

db-url=jdbc:oracle:thin:@//地址:端口/SID或者service

http-enabled=true   #这是为了使用http访问登录主页,不要也行。
https-port=xxxx     #指定https端口,不写就默认为8443,但在docker环境下,如果宿主8443已被占用,进行端口转换会出现控制台页面一直加载,无法访问的问题,所以这里变更了容器端口,后面映射到宿主的相同端口。

https-key-store-file=/opt/keycloak/certs/keycloak.p12  #https的证书keystore,后面给容器映射一个certs文件夹
https-key-store-password=创建keystore文件时用的密码

hostname=主机名     #指定前端主机名,生产环境中必须。
hostname-strict-backchannel=true    #暴露后端主机,与前端一致,使得第三方应用可直接访问,这个在面向非私有网络时需要设置,否则外部应用无法访问后端。
hostname-admin-url=https://主机名:8086   #管理台指定url,这个不设置的话,通过http访问主页后跳转会失败,这里实际上是指定了主页上"Administration Console"的链接地址。

hostname-debug=true   #辅助功能,设定后可通过http或https测试各链接是否正常,例如http://主机名/realms/master/hostname-debug

log=file    #开启文件日志模式
log-file=/opt/keycloak/logs/keycloak.log  #指定日志文件路径

2.3 基本配置调整完毕。这里注意,如果是在软件包环境下,还需要build一下,在docker环境下直接就可以docker run

3. 运行docker,以生产模式启动

 留意设置管理员初始密码,测试的话也可以在宿主环境下先行export以免每次带参数。

docker run --name keycloak \
-p 8085:8080 \
-p 8086:8086 \
-e KEYCLOAK_ADMIN=admin \
-e KEYCLOAK_ADMIN_PASSWORD=admin \
-v /test/keycloak/conf /opt/keycloak/conf \
-v /test/keycloak/providers /opt/keycloak/providers \
-v  /test/keycloak/themes /opt/keycloak/themes \
-v /test/keycloak/logs /opt/keycloak/logs \
-v /test/keycloak/keycloak/certs /opt/keycloak/certs \
quay.io/keycloak/keycloak:22.0.3 \
start

4. 登录管理台,开始使用。它原生支持多语言界面,在master的本地化里加上需要的语言即可。

MaxSamMax
关注
【DevOps工具篇】Keycloak安装配置及脚本化
欧阳天涵的专栏
04-04 570
当我们执行[myrealm-keycloak-configuration.sh]脚本以启动一个全新的Keycloak实例时,它将运行并以完全自动化的方式进行设置。在所有即将发布的教程中,将应用相同的配置Keycloak的过程。与大多数关于Keycloak的其他博客/教程/文章的一个重大区别是,我们通过使用Keycloak的。虽然存在其他用于脚本化配置的替代方法,但是管理CLI在所有运行时环境中都可用,并且可以直接使用。realm,并请求一个经过身份验证的会话,该会话将用于所有进一步的调用。
Keycloak各种配置及API的使用
热门推荐
wdquan19851029的专栏
01-09 12万+
介绍要完成SSO功能,所需要的keycloak API接口及其介绍。
手把手教你:用 Kubernetes 部署 Keycloak,告别应用身份验证难题
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
01-23 1788
手把手教你:用 Kubernetes 部署 Keycloak,告别应用身份验证难题
keycloak 8生产模式安装
weixin_43394129的博客
12-09 333
一.介绍   Keycloak 可以在两种运行模式下启动,development mode和production mode.两种模式都为它们打算使用的环境提供了一组不同的默认值。   下面是开发模式命令,如下所示:   bin/kc.[sh|bat] start-dev   开发模式设置如下默认配置:     已启用 HTTP    禁用严格的主机名解析    缓存设置为本地(为了高可用...
开源身份和访问管理(IAM)解决方案:Keycloak
人人可学,人人可用,IT与AI不是高不可攀!
04-22 1542
Keycloak 是一个开源的身份和访问管理(Identity and Access Management - IAM)解决方案。它旨在为现代应用程序和服务提供安全保障,简化身份验证和授权过程。Keycloak 提供了集中式的用户管理、单点登录(Single Sign-On - SSO)、身份联合、社交登录等功能,帮助开发者专注于业务逻辑,而无需从头开始构建复杂的安全系统。
第9章_为生产配置 Keycloak
sdwxy的博客
02-27 875
无论您在何处托管集群,无论是在本地还是在云中,在生产模式下启动服务器的配置选项和步骤都是相同的。在本章中,您将创建一个预生产 Keycloak 集群,以了解为生产配置它时所涉及的所有各个方面和步骤。
(二)keycloak 基本配置运行
07-12 4316
keycloak的基本配置,自定义数据库,创建relam client user role
keycloak集群部署配置
11-05
Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案。单点部署相对简单,本文档包含集群部署配置,包含nginx。
Keycloak配置模拟用户登录
ananyou的博客
04-24 809
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
keycloak docker 生产环境
最新发布
06-01
### Keycloak生产环境中的 Docker 部署与配置最佳实践 在生产环境中使用 KeycloakDocker 进行部署和配置时,需要考虑多个关键因素以确保系统的高可用性、安全性以及可扩展性。以下是一些重要的最佳实践[^1]...
keycloak压缩包
06-22
5. 部署Keycloak:在生产环境中,你可能需要考虑集群部署、负载均衡和持久化存储的配置。 总的来说,Keycloak是现代应用程序中安全基础设施的关键组成部分,它简化了身份管理和访问控制的复杂性,同时提供了强大的...
Keycloak Docker Compose 配置教程与实践
- 在生产环境部署时,根据实际需求调整配置,并确保安全性和性能优化。 - 定期查看Keycloak的官方文档和博客,关注安全更新和最佳实践。 最后,虽然在描述中提到了“我很麻烦地生成一些随机的默认密码”,这暗示...
史上最全的keycloak部署与启动教程
qq_31532979的博客
07-31 5093
Keycloak是一个开源的身份和访问管理解决方案,它提供了OIDC(OpenID Connect)、OAuth 2.0和SAML 2.0等通用认证和授权协议的支持。下面将解释这些概念和相关知识。OIDC(OpenID Connect)是一个构建在OAuth 2.0之上的认证协议,它允许用户使用一个统一的身份标识(OpenID)进行身份验证和授权。OIDC在OAuth 2.0的基础上添加了身份验证的能力,使得应用程序可以获得用户信息,并且可以验证这些信息的真实性。
KeyCloak教程
The Fifth Leaf 的博客
11-21 1917
Keycloak是一个开源的身份和访问管理解决方案,由Jboss(Red Hat)提供支持。它允许您轻松地为应用程序和服务实现认证、授权和安全的功能,从而保护您的资源免受未经授权的访问。Keycloak采用了现代化的标准和协议,例如OpenID Connect和OAuth 2.0,使其成为一个强大且灵活的解决方案。以下是Keycloak的一些主要特点:单点登录 (SSO):Keycloak支持单点登录,让用户只需一次登陆就能访问多个关联的应用程序。
Keycloak服务器安装和配置
weixin_30872157的博客
01-17 1690
安装地址:https://www.keycloak.org/archive/downloads-4.4.0.html 参考文档:https://www.keycloak.org/docs/latest/server_installation/index.html#guide-overview 解压文件: 分发目录结构: 目录解释 bin: 包含启动服务和管理操作的脚...
KEYCLOAK 23.0.4 单点登录配置
xyp632的博客
01-23 2145
记录时间:2024.1.23。
keycloak 配置callbackURL
qq690452074的专栏
08-04 578
增加完后记得保存
Keycloak 高可用部署实战
CodingDemo
01-16 3104
Keycloak是一个开源的Identity 和 Access Management工具,本文主要讲解keycloak高可用部署实战。
keycloak中文使用文档_KEYCLOAK 配置文档 · GitBook
weixin_30916255的博客
12-24 3145
KEYCLOAK 配置文档1.创建REALM2.配置CLIENT将localhost和端口换成相应的应用服务器地址和端口即可,其他保持一致创建三个角色,login,admin和user创建两个用户lhy和lei分别赋予admin和user角色3.查看SECRET4.在SPRING配置文档APPLICATION.PROPERTIES中写入以下配置# realm名称keycloak.realm=lhy...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值