[TUTORIAL] OPENID Keycloak Anbindung Proxmox

fireon · Mar 17, 2024

Hallo Leute,

ich habe hier eine Dokumentation erstellt. Diese zeigt die Keycloakanbindung mit Proxmox inkl. Login berechtigten LDAP-Gruppen mit Keycloak von Univention Server UCS. Diese funktionierende Config kann auch als Beispiel für andere Keycloakclients dienen.

https://deepdoc.at/dokuwiki/doku.ph...kvm_und_lxc:openid_keycloak_anbindung_proxmox

lg
fireon

takalele · Jul 24, 2024

Hallo Fireon,

herzlichen Dank für dein Tutorial. Ich habe dazu eine Frage:
Wo und wie hast du in Proxmox den Policy Enforcer konfiguriert? Wenn ich es richtig verstehe, wird dieser für die Rollen- und gruppenbasierte Autorisierung anwendungsseitig benötigt. Ohne Policy Enforcer funktioniert die LDAP Gruppenbasierende Autorisierung leider nicht.

Danke&LG
Takalele

fireon · Jul 24, 2024

takalele said:
Hallo Fireon,

herzlichen Dank für dein Tutorial. Ich habe dazu eine Frage:
Wo und wie hast du in Proxmox den Policy Enforcer konfiguriert? Wenn ich es richtig verstehe, wird dieser für die Rollen- und gruppenbasierte Autorisierung anwendungsseitig benötigt. Ohne Policy Enforcer funktioniert die LDAP Gruppenbasierende Autorisierung leider nicht.

Danke&LG
Takalele

Ja das geht leider so auch nicht. In Keycloak (Selbsttest) funktioniert das, aber in Proxmox selbst wohl nicht. Als workaround habe ich "Autocreate users" unter realms in Proxmox deaktiviert.

Zum Thema gibt es hier auch schon einen Beitrag, ich hatte aber noch keine Zeit mir das genauer anzusehen. Vielleicht findest du ja ein Möglichkeit das um zu setzen:

https://help.univention.com/t/keycloak-sync-ucs-groups/23057/5?u=boospy

takalele · Jul 24, 2024

fireon said:
Ja das geht leider so auch nicht. In Keycloak (Selbsttest) funktioniert das, aber in Proxmox selbst wohl nicht. Als workaround habe ich "Autocreate users" unter realms in Proxmox deaktiviert.

Zum Thema gibt es hier auch schon einen Beitrag, ich hatte aber noch keine Zeit mir das genauer anzusehen. Vielleicht findest du ja ein Möglichkeit das um zu setzen:

https://help.univention.com/t/keycloak-sync-ucs-groups/23057/5?u=boospy

Hi,

habe eine Lösung gefunden, pro client einen separaten authentication flow, sowie je nach Anforderung einen oder mehrere role-ldap-mapper. Die Rechte muss man aber dennoch in der Applikation vergeben.

anbei screenshots.

bei "Condition - user role config" gehört Negate output auf On

LG
Takalele

Search

Search

[TUTORIAL] OPENID Keycloak Anbindung Proxmox

fireon

Distinguished Member

takalele

New Member

fireon

Distinguished Member

takalele

New Member