Настройка Keycloak¶

Чтобы настроить Keycloak для авторизации по сертификату, необходимо выполнить следующие действия:

1. Открыть административную консоль Keycloak.

В случае если сертификат уже импортирован, появится окошко запроса сертификата.

2. Авторизоваться в Keycloak с паролем.

3. Выбрать realm: DH.

4. Перейти в раздел Authentication.

5. На вкладке Flow скопировать стандартный поток «Browser» с новым именем «Browser X509» через действие «Duplicate» .

Можно использовать уже существующий «Flow», если ранее была настроена аутентификации через Kerberos.

6. Создать новый «Execution» типа «X509/Validate Username Form» нажатием кнопки [Add execution].

7. Повысить приоритет «Execution» до 2-ой позиции (или под Kerberos) в списке и установить требование «ALTERNATE».

8. Отредактировать конфигурацию «Execution», нажав кнопки [Actions] и [Config].

A regular expression to extract user identity указать (?<=CN=)([^,]+) – это регулярное выражение будет определять имя пользователя на основе CN сертификата.

User mapping method – указать «Username or Email».

A name of user attribute – удалить строку «usercertificate».

9. Сохранить изменения. 10. На клиентском сервере перейти на «ldm.test».

При авторизации появится запрос сертификата для авторизации.

Для подавления запроса на сертификат необходимо добавить Keycloak URL https://keycloak.ldm.test в зону местной интрасети или доверенные узлы в свойствах браузера Системы.