使用 Keycloak-proxy 的 Zabbix HTTP 身份验证
Zabbix HTTP authentication with Keycloak-proxy
我正在尝试使用 keycloak-proxy 将 Zabbix UI 与 Keycloak SSO 集成。
我的设置如下:
- Nginx 是入口点:它处理“虚拟主机”,将请求转发到 keycloak-proxy。
- Keyclock-proxy 配置了 client_id、client_secret 等来验证 Keycloak 的用户;
- Apache 上的 Zabbix 仪表板,默认设置:我启用 HTTP 身份验证。
我已经在 Keycloak 和 Zabbix 中创建了一个测试用户。
身份验证流程正常:我被重定向到 KeyCloak,我进行了身份验证,但我总是收到“登录名或密码不正确”。来自 Zabbix UI.
我做错了什么?
有人试过在 Zabbix 上使用 OIDC 身份验证吗?
我正在使用 Zabbix 4.0、KeyCloak 4.4、Keycloak-proxy 2.3.0。
keycloak-代理配置:
client-id: zabbix-client
client-secret: <secret>
discovery-url: http://keycloak.my.domain:8080/auth/realms/myrealm
enable-default-deny: true
enable-logout-redirect: true
enable-logging: true
encryption_key: <secret>
listen: 127.0.0.1:10080
redirection-url: http://testbed-zabbix.my.domain
upstream-url: http://a.b.c.d:80/zabbix
secure-cookie: false
enable-authorization-header: true
resources:
- uri: /*
roles:
- zabbix
Zabbix 需要 PHP_AUTH_USER(或 REMOTE_USER 或 AUTH_USER)header 和用户名,但 keycloak-proxy 没有提供。让我们使用电子邮件作为用户名(理论上您可以使用访问令牌中的任何声明)。在 keycloak-proxy 配置中向请求 header 添加电子邮件:
add-claims:
- email
并在 Zabbix Apache 配置中从电子邮件 header 创建 PHP_AUTH_USER 变量:
SetEnvIfNoCase X-Auth-Email "(.*)" PHP_AUTH_USER=
注意:Conf 语法可能不正确,因为它不在我的脑海中 - 它可能需要一些调整。
顺便说一句:有一个(hackish)用户补丁可用 - https://support.zabbix.com/browse/ZBXNEXT-4640,但 keycloak-gatekeeper 是更好的解决方案
备案:keycloak-proxy = keycloak-gatekeeper(项目已重命名并最近迁移到keycloak org)
我正在尝试使用 keycloak-proxy 将 Zabbix UI 与 Keycloak SSO 集成。 我的设置如下:
- Nginx 是入口点:它处理“虚拟主机”,将请求转发到 keycloak-proxy。
- Keyclock-proxy 配置了 client_id、client_secret 等来验证 Keycloak 的用户;
- Apache 上的 Zabbix 仪表板,默认设置:我启用 HTTP 身份验证。
我已经在 Keycloak 和 Zabbix 中创建了一个测试用户。 身份验证流程正常:我被重定向到 KeyCloak,我进行了身份验证,但我总是收到“登录名或密码不正确”。来自 Zabbix UI.
我做错了什么? 有人试过在 Zabbix 上使用 OIDC 身份验证吗?
我正在使用 Zabbix 4.0、KeyCloak 4.4、Keycloak-proxy 2.3.0。
keycloak-代理配置:
client-id: zabbix-client
client-secret: <secret>
discovery-url: http://keycloak.my.domain:8080/auth/realms/myrealm
enable-default-deny: true
enable-logout-redirect: true
enable-logging: true
encryption_key: <secret>
listen: 127.0.0.1:10080
redirection-url: http://testbed-zabbix.my.domain
upstream-url: http://a.b.c.d:80/zabbix
secure-cookie: false
enable-authorization-header: true
resources:
- uri: /*
roles:
- zabbix
Zabbix 需要 PHP_AUTH_USER(或 REMOTE_USER 或 AUTH_USER)header 和用户名,但 keycloak-proxy 没有提供。让我们使用电子邮件作为用户名(理论上您可以使用访问令牌中的任何声明)。在 keycloak-proxy 配置中向请求 header 添加电子邮件:
add-claims:
- email
并在 Zabbix Apache 配置中从电子邮件 header 创建 PHP_AUTH_USER 变量:
SetEnvIfNoCase X-Auth-Email "(.*)" PHP_AUTH_USER=
注意:Conf 语法可能不正确,因为它不在我的脑海中 - 它可能需要一些调整。
顺便说一句:有一个(hackish)用户补丁可用 - https://support.zabbix.com/browse/ZBXNEXT-4640,但 keycloak-gatekeeper 是更好的解决方案
备案:keycloak-proxy = keycloak-gatekeeper(项目已重命名并最近迁移到keycloak org)