hs-note

keycloak user management

- keycloak에 자체 생성

- user federation : ldap, AD 등 외부 user database와 연계

# minikube에 설치한 openldap과 연계 방법 정리

# Realm 선택 > 외쪽 메뉴에서 User Federation선택 > 오른쪽에서 ldap 선택

# 설정 내용

- Console Display name : ldap-openldap ( 마음대로 )
- Vendor : Other

- Connection url : ldap://ldap-openldap.ldap.svc:389 ( 동일 클러스터 내에 있어서 service 명으로 접근 ) 

- User DN : dc=ldap,dc=cloudpak,dc=com ( ldap 에서 지정한 정보 )
- Bind DN : cn=admin,dc=ldap,dc=cloudpak,dc=com ( ldap 로그인 정보 )

- Bind Credential : ldap의 로그인 암호

# ldap에 생성한 user, group 정보

# Synchronize all users 하면 ldap에 생성한 svc1-user1, svc1-user2 가 보임

- user01, user02, user03은 keycloak에 자체 생성한 user임.

# LDAP group 연계 : group연계는 ldap mapper에서 추가해야 함.

- Name : group ( 마음대로 )
- Mapper Type : group-ldap-mapper
- LDAP group DN : ou=groups,dc=ldap,dc=cloudpak,dc=com
- Group name ldap attribute : cn
- Group object classes : groupOfUniqueNames -> ldap에서 group생성할때 지정한 object class
- Membership ldap attribute : uniquemember

# ldap에서 생성된 group 연계 확인 

- svc1 ( group01은 keycloak에 생성한 group임 )

## 연계한 ldap 정보는 realm 간에 공유되지 않음 ( 생성한 user 정보도 공유 안됨 )

# openldap, phpldapadmin install

# 작업 directory 및 namespace 생성

root@minik8s:~# mkdir ldap
root@minik8s:~# cd ldap/
root@minik8s:~/ldap# ls
root@minik8s:~/ldap# kubectl create namespace ldap
namespace/ldap created
root@minik8s:~/ldap#

# helm repo 연결 및 config.yaml 생성

root@minik8s:~/ldap# helm repo add stable https://kubernetes-charts.storage.googleapis.com
"stable" has been added to your repositories
root@minik8s:~/ldap# helm repo update
Hang tight while we grab the latest from your chart repositories...
...Successfully got an update from the "codecentric" chart repository
...Successfully got an update from the "stable" chart repository
Update Complete. ⎈ Happy Helming!⎈
root@minik8s:~/ldap# helm inspect values stable/openldap > config.yaml

# config.yaml 수정

- LDAP_DOMAIN : ldap.cloudpak.com

- adminPassword : 주석제거, 암호지정

- storageClass -> 'standard' ( minikube의 storageclass )

- size : 8Gi -> 5Gi -> minikube vm의 volume이 적어서 변경

# helm install

root@minik8s:~/ldap# helm install ldap -f config.yaml stable/openldap -n ldap

# phpldapadmin 설치 -> ldap에 console로 접근해서 관리 용도

root@minik8s:~/ldap# helm repo add cetic https://cetic.github.io/helm-charts
"cetic" has been added to your repositories
root@minik8s:~/ldap# helm repo update
Hang tight while we grab the latest from your chart repositories...
...Successfully got an update from the "cetic" chart repository
...Successfully got an update from the "codecentric" chart repository
...Successfully got an update from the "stable" chart repository
Update Complete. ⎈ Happy Helming!⎈
root@minik8s:~/ldap# helm inspect values cetic/phpldapadmin > phpldapadmin.yaml

# phpldapadmin.yaml 수정

- LDAP_HOST : 앞에 설치한 openldap의 service 명( 동일 namespace 경우 ) 

- ClusterIP로 지정하고, 배포후 NordPort 변경 또는 ingress 생성

# helm install

helm install ldapadmin -f phpldapadmin.yaml cetic/phpldapadmin -n ldap

# ingress 생성

# web 접근 및 로그인

- openldap 생성시 지정한 계정명+도메인명으로 로그인 ( cn=admin,dc=ldap,dc=cloudpak,dc=com )