2

我正在尝试使用 keycloak-proxy 将 Zabbix UI 与 Keycloak SSO 集成。我的设置如下:

  1. Nginx 是入口点:它处理“虚拟主机”,将请求转发到 keycloak-proxy。
  2. Keyclock-proxy 配置了 client_id、client_secret 等,用于向 Keycloak 认证用户;
  3. Apache 上的 Zabbix 仪表板,默认设置:我启用 HTTP 身份验证。

我在 Keycloak 和 Zabbix 中都创建了一个测试用户。身份验证流程正常:我被重定向到 KeyCloak,我进行身份验证,但我总是收到“登录名或密码不正确”。来自 Zabbix UI。

我究竟做错了什么?有没有人尝试在 Zabbix 中使用 OIDC 身份验证?

我正在使用 Zabbix 4.0、KeyCloak 4.4、Keycloak-proxy 2.3.0。

密钥斗篷代理配置:

client-id: zabbix-client
client-secret: <secret>

discovery-url: http://keycloak.my.domain:8080/auth/realms/myrealm
enable-default-deny: true
enable-logout-redirect: true
enable-logging: true
encryption_key: <secret>
listen: 127.0.0.1:10080
redirection-url: http://testbed-zabbix.my.domain
upstream-url: http://a.b.c.d:80/zabbix
secure-cookie: false
enable-authorization-header: true

resources:
- uri: /*
  roles:
    - zabbix
4

1 回答 1

1

Zabbix 需要PHP_AUTH_USER(或REMOTE_USERAUTH_USER)带有用户名的标头,但 keycloak-proxy 不提供它。让我们使用电子邮件作为用户名(理论上您可以使用访问令牌中的任何声明)。将电子邮件添加到 keycloak-proxy 配置中的请求标头:

add-claims:
- email

并从 Zabbix Apache 配置中的电子邮件标头创建PHP_AUTH_USER变量:

SetEnvIfNoCase X-Auth-Email "(.*)" PHP_AUTH_USER=$1

注意: Conf 语法可能不正确,因为它不在我的脑海中 - 它可能需要一些调整。

顺便说一句:有一个(hackish)用户补丁可用 - https://support.zabbix.com/browse/ZBXNEXT-4640,但 keycloak-gatekeeper 是一个更好的解决方案

备案:keycloak-proxy = keycloak-gatekeeper(项目最近改名迁移到keycloak org)

于 2018-09-26T10:14:46.170 回答