hs-note

keycloak user management

- keycloak에 자체 생성

- user federation : ldap, AD 등 외부 user database와 연계

# minikube에 설치한 openldap과 연계 방법 정리

# Realm 선택 > 외쪽 메뉴에서 User Federation선택 > 오른쪽에서 ldap 선택

# 설정 내용

- Console Display name : ldap-openldap ( 마음대로 )
- Vendor : Other

- Connection url : ldap://ldap-openldap.ldap.svc:389 ( 동일 클러스터 내에 있어서 service 명으로 접근 ) 

- User DN : dc=ldap,dc=cloudpak,dc=com ( ldap 에서 지정한 정보 )
- Bind DN : cn=admin,dc=ldap,dc=cloudpak,dc=com ( ldap 로그인 정보 )

- Bind Credential : ldap의 로그인 암호

# ldap에 생성한 user, group 정보

# Synchronize all users 하면 ldap에 생성한 svc1-user1, svc1-user2 가 보임

- user01, user02, user03은 keycloak에 자체 생성한 user임.

# LDAP group 연계 : group연계는 ldap mapper에서 추가해야 함.

- Name : group ( 마음대로 )
- Mapper Type : group-ldap-mapper
- LDAP group DN : ou=groups,dc=ldap,dc=cloudpak,dc=com
- Group name ldap attribute : cn
- Group object classes : groupOfUniqueNames -> ldap에서 group생성할때 지정한 object class
- Membership ldap attribute : uniquemember

# ldap에서 생성된 group 연계 확인 

- svc1 ( group01은 keycloak에 생성한 group임 )

## 연계한 ldap 정보는 realm 간에 공유되지 않음 ( 생성한 user 정보도 공유 안됨 )

ubuntu에 user01 계정 생성

# user01 계정 생성

$ adduser user01

# password 2번 입력하고, 추가 정보는 엔터만 치면됨. 마지막에 Y 입력

# sudo 추가

$ usermod -aG sudo user01

# user01을 docker 실행 그룹에 추가

$ usermod -aG docker user01

1. ansible 설치 -> 사전에 python 설치 확인

# 방법 1 - from ansible documentation 
$ sudo apt update
$ sudo apt install software-properties-common
$ sudo apt-add-repository --yes --update ppa:ansible/ansible
$ sudo apt install ansible


# 방법 2 - from ansible documentation
$ pip install ansible

2. 호스트 등록

$ vi /etc/ansible/hosts

# 아래 양식으로 등록(아래 이미지 참조)

[web]
호스트IP 1
호스트IP 2

3. 연결 테스트

# 연결 테스트
$ ansible all -m ping
$ ansible worker1 -m ping

4. ssh key 생성 및 복사

# SSH key 생성
$ ssh-keygen -b 4096 -f ~/.ssh/id_rsa -N ""

# 인증키에 등록
$ cat ~/.ssh/id_rsa.pub | sudo tee -a ~/.ssh/authorized_keys

# 인증키를 각 노드에 추가
$ ssh-copy-id -i ~/.ssh/id_rsa.pub <user>@<node_ip_address>
예)
$ ssh-copy-id -i ~/.ssh/id_rsa.pub root@proxy
$ ssh-copy-id -i ~/.ssh/id_rsa.pub root@management
$ ssh-copy-id -i ~/.ssh/id_rsa.pub root@worker1
$ ssh-copy-id -i ~/.ssh/id_rsa.pub root@worker2

ssh-copy-id -i ~/.ssh/id_rsa.pub root@169.56.170.168

# 모든 node에서 ssh 재시작
$ sudo systemctl restart sshd

5. ssh key 복사후 ping 테스트 결과 (아래 이미지)

6. yaml 작성

# create-user.yaml

- name: 사용자 추가
  hosts: all
  become: true
  tasks:
    - name: 사용자 이름 생성
      user:
        name: "{{ item }}"
        shell: /bin/bash
      with_items: "{{ USER_NAME }}"
    - name: 패스워드 변경
      user:
        name: "{{ item }}"
        password: "{{ PASSWORD | password_hash('sha512') }}"
      with_items: "{{ USER_NAME }}"
    - name: sudoers.d 추가
      copy:
        content: |
          %{{item}} ALL=(ALL) NOPASSWD: ALL
        dest: "/etc/sudoers.d/{{item}}"
        owner: root
        group: root
        mode: 0440
        validate: "/usr/sbin/visudo -c -f '%s'"
      with_items: "{{ USER_NAME }}"
  vars:
    USER_NAME:
    - "user01"
    - "user02"
    - "user03"
    - "user04"
    - "user05"
    - "user06"
    - "user07"
    - "user08"
    - "user09"
    - "user10"
    - "user11"
    - "user12"
    - "user13"
    - "user14"
    - "user15"
    - "user16"
    - "user17"
    - "user18"
    - "user19"
    - "user20"
    - "user21"
    - "user22"
    - "user23"
    - "user24"
    - "user25"
    - "user26"
    - "user27"
    - "user28"
    - "user29"
    - "user30"

7. playbook 실행

# 명령어 실행
$ ansible-playbook create-user.yaml --extra-vars "PASSWORD=your_password"

# 로그인시 프롬프트가 $ 이고 history나 화살표로 이전 명령어 보이기가 실행 안되면
# bin/sh로 실행되는것 -->  vi /etc/passwd 열어서 sh를 -> bash 로 변경하면 됨

8. ICP cluster 접근을 위한 추가 작업

• root계정으로 cloudctl, kubectl 설치하고, ICP 화면에서 클라이언트 구성 복사해서 실행하면 정상 연결됨
•  
• cloudctl login https://icp-cluster:8443
• 로그인
• kubectl 명령 실행 가능함....
•  
• cloudctl login -a https://icp-cluster:8443 --skip-ssl-validation