Keycloak
Keycloak est le service disponible sur l'adresse suivante. Il gère l'authentification des utilisateurs sur tous les autres services de l'architecture.
Configuration actuelle
Le service Nginx de computing transfère les pages web du port 8127 (géré par Keycloak) vers le port 443 (https) sur le domaine wiki.linarphy.net. Les données sont gérés par Postgresql via une base de donnée ayant pour nom keycloak et pour utilisateur keycloak. Cette instance stocké dans le dossier /usr/share/keycloak/ tourne sur la version 26.0.0 avec openjdk-21.0.2 (lui-même dans /usr/share/openjdk/21/).
Installation
Prérequis
Procédure
Fichiers
La première étape consiste au téléchargement du service avec la commande curl -L https://github.com/keycloak/keycloak/releases/download/26.0.0/keycloak-26.0.0.tar.gz -o keycloak-26.0.0.tar.gz en tant qu'utilisateur root. Le lien est récupéré sur la page de téléchargement. Le fichier keycloak-26.0.0.tar.gz peut ensuite être extrait avec la commande tar -xf keycloak-26.0.0.tar.gz en tant qu'utilisateur root pour ensuite supprimer cette archive: rm keycloak-26.0.0.tar.gz.
Le dossier peut ensuite être déplacé dans son emplacement final (/usr/share/keycloak/) avec la commande mv keycloak-26.0.0 /usr/share/keycloak(toujours en tant que root).
Permissions
Le service s'exécutera avec un utilisateur particulier (et non root) pour isoler le processus. Il est donc nécessaire de créer l'utilisateur local keycloak avec la commande adduser --system --no-create-home --group keycloak en tant que root. La commande chown -R keycloak:keycloak /usr/share/keycloak/ pour donner les permissions du dossier à ce nouvel utilisateur.
Keycloak sera accessible via une connexion chiffré (https), et sa configuration nécessite l'accès à la clef privé et public utilisé pour cette connexion (comme Nginx (computing)). Pour protéger ces clefs et ne pas les rendre accessible à d'autres utilisateur que keycloak, un hook (script) sera mis en place pour être exécuté par Certbot. Il va donc être nécessaire de créer le dossier /usr/share/keycloak/certs via la commande mkdir /usr/share/keycloak/certs en tant que root (oui oui, pas keycloak pour le moment, c'est normal), puis de modifier ces permissions avec les commandes chown keycloak:keycloak /usr/share/keycloak/certs et chmod 500 /usr/share/keycloak/certs. Créer ensuite le fichier /usr/share/keycloak/certs/hook.sh toujours en tant que root avec l'éditeur de sont choix contenant le script:
#!/usr/bin/env sh # adapted from https://gist.github.com/Sternerson/file-ssl-deploy-hook-L1 KEYCLOAK_CERT_DIR=/usr/share/keycloak/certs umask 077 # the certificate are not world readable during the copying cp "${RENEWED_LINEAGE}/privkey.pem" "${KEYCLOAK_CERT_DIR}/privkey.pem" cp "${RENEWED_LINEAGE}/fullchain.pem" "${KEYCLOAK_CERT_DIR}/fullchain.pem" chown keycloak:keycloak "${KEYCLOAK_CERT_DIR}/privkey.pem" chown keycloak:keycloak "${KEYCLOAK_CERT_DIR}/fullchain.pem" chmod 400 "${KEYCLOAK_CERT_DIR}/privkey.pem" chmod 400 "${KEYCLOAK_CERT_DIR}/fullchain.pem"
Exécuter la commande chmod +x /usr/share/keycloak/hook.sh pour permettre l'exécution du script. Les permissions de ce fichier ne vont pas être autrement modifié, le script ne sera exécuté que par l'utilisateur root.
Configuration
db=postgres
db-username=keycloak
db-password={keycloak-postgresql-password}
db-url=jdbc:postgresql://localhost/keycloak
health-enabled=true
metrics-enabled=true
https-certificate-file=${kc.home.dir}/certs/fullchain.pem
https-certificate-key-file=${kc.home.dir}/certs/privkey.pem
hostname=auth.linarphy.net
proxy-headers=xforwarded
https-port=8127
Nginx
Créer le fichier /etc/nginx/sites-available/auth.linarphy.net contenant la configuration Nginx suivante:
server {
server_name auth.linarphy.net;
listen 80;
listen [::]:80;
}
Puis créer un lien symbolique avec la commande ln -s /etc/nginx/sites-available/auth.linarphy.net /etc/nginx/sites-enabled/auth.linarphy.net et tester la configuration via nginx -t. Si la configuration est valide, il est nécessaire de recharger le service systemd avec systemctl reload nginx et mettre en place le chiffrement ssl avec certbot --nginx --domain auth.linarphy.net --deploy-hook=/usr/share/keycloak/certs/hook.sh.
Vérifier ensuite sur un navigateur l'accès au service sur le protocole https.