[TUTORIAL] OPENID Keycloak Anbindung Proxmox

fireon

fireon

Distinguished Member
Proxmox Subscriber
Oct 25, 2010
4,535
498
153
Austria/Graz
deepdoc.at
  • Like
Reactions: DJMiAnKi, tom, Falk R. and 2 others
Hallo Fireon,

herzlichen Dank für dein Tutorial. Ich habe dazu eine Frage:
Wo und wie hast du in Proxmox den Policy Enforcer konfiguriert? Wenn ich es richtig verstehe, wird dieser für die Rollen- und gruppenbasierte Autorisierung anwendungsseitig benötigt. Ohne Policy Enforcer funktioniert die LDAP Gruppenbasierende Autorisierung leider nicht.

Danke&LG
Takalele
 
takalele said:
Hallo Fireon,

herzlichen Dank für dein Tutorial. Ich habe dazu eine Frage:
Wo und wie hast du in Proxmox den Policy Enforcer konfiguriert? Wenn ich es richtig verstehe, wird dieser für die Rollen- und gruppenbasierte Autorisierung anwendungsseitig benötigt. Ohne Policy Enforcer funktioniert die LDAP Gruppenbasierende Autorisierung leider nicht.

Danke&LG
Takalele
Click to expand...
Ja das geht leider so auch nicht. In Keycloak (Selbsttest) funktioniert das, aber in Proxmox selbst wohl nicht. Als workaround habe ich "Autocreate users" unter realms in Proxmox deaktiviert.

Zum Thema gibt es hier auch schon einen Beitrag, ich hatte aber noch keine Zeit mir das genauer anzusehen. Vielleicht findest du ja ein Möglichkeit das um zu setzen:

https://help.univention.com/t/keycloak-sync-ucs-groups/23057/5?u=boospy
 
fireon said:
Ja das geht leider so auch nicht. In Keycloak (Selbsttest) funktioniert das, aber in Proxmox selbst wohl nicht. Als workaround habe ich "Autocreate users" unter realms in Proxmox deaktiviert.

Zum Thema gibt es hier auch schon einen Beitrag, ich hatte aber noch keine Zeit mir das genauer anzusehen. Vielleicht findest du ja ein Möglichkeit das um zu setzen:

https://help.univention.com/t/keycloak-sync-ucs-groups/23057/5?u=boospy
Click to expand...
Hi,

habe eine Lösung gefunden, pro client einen separaten authentication flow, sowie je nach Anforderung einen oder mehrere role-ldap-mapper. Die Rechte muss man aber dennoch in der Applikation vergeben.

anbei screenshots.

keycloak_role_ldap_mapper.png

bei "Condition - user role config" gehört Negate output auf On
keyloak_rbac_auth_flow.png

LG
Takalele
 
You must log in or register to reply here.
Top Bottom