Настройка 2-факторной аутентификации для VMware vCloud Director Содержание 1. Установка Keycloak Server ............................................................................................................................. 2 1.1 Установка Keycloak в качестве Docker контейнера ............................................................................... 2 1.2 Установка Keycloak Standalone на виртуальную машину с гостевой ОС Centos7 ............................... 3 1.2.1 Подготовка платформы под сервер ................................................................................................ 3 1.2.2 Установка необходимых утилит ...................................................................................................... 4 1.2.3 Установка дистрибутива Keycloak Standalone ................................................................................ 4 1.2.4 Установка Keycloak как сервис в Centos7 ........................................................................................ 5 1.3 Установка Keycloak Standalone на виртуальную машину с гостевой ОС Windows Server 2019 ........ 8 1.3.1 Подготовка платформы под сервер ................................................................................................ 8 1.3.2 Установка необходимых утилит ...................................................................................................... 8 1.3.3 Установка дистрибутива Keycloak Standalone ................................................................................ 9 1.3.4 Установка Keycloak как сервис в Windows Server 2019 ............................................................... 10 2. Настройка поддержки HTTPS для Keycloak ............................................................................................... 16 2.1 Настройки доменного имени ............................................................................................................... 17 2.2 Установка и настройка Nginx ................................................................................................................ 17 2.2.1 Установка и настройка Nginx на Docker ........................................................................................ 17 2.2.2 Установка и настройка Nginx на Centos7 ...................................................................................... 17 2.2.3 Установка и настройка Nginx на Windows Server 2019 ................................................................ 19 3. Настройка связки с vCloud Director ............................................................................................................ 23 3.1 Настройка со стороны Keycloak ............................................................................................................ 23 3.2 Выгрузка метаданных из vCloud Director ............................................................................................ 25 3.2.1 Выгрузка метаданных для версии vCloud Director 10.0.0+ ......................................................... 25 3.2.2 Выгрузка метаданных для версии vCloud Director 9.0.0 ............................................................. 26 3.3 Настройка клиента в Keycloak............................................................................................................... 27 3.4 Финальная настройка со стороны vCloud Director .............................................................................. 31 3.4.1 Финальная настройка в vCloud Director 10.0.0+ ........................................................................... 31 3.4.2 Финальная настройка в vCloud Director 9.0.0 ............................................................................... 34 3.5 Вход в vCloud Director под учетной записью Keycloak ....................................................................... 37 4. Настройка 2-факторной аутентификации с Google Authenticator ........................................................... 38 Настройка 2-факторной аутентификации для VMware vCloud Director Для аутентификации пользователей в интерфейсе VMware vCloud Director (начиная с версии 9.0.0) поддерживается функционал «SAML provider». В данном «Руководстве пользователя» рассмотрена настройка 2-факторной аутентификации при подключении пользователя к vCloud Director. Для этого используются сервер Keycloak и приложение Google Authenticator на мобильном устройстве (смартфоне). Ссылка на статью-источник: https://digaround.cloud/vcloud_2fa_google_authenticator/ 1. Установка Keycloak Server Keycloak – это ориентированный на современные применения и сервисы продукт с открытым кодом для реализации single sign-on с возможностью управления доступом. Проект сообщества JBoss находится под управлением Red Hat. Цель проекта – помощь в создании безопасных приложений и сервисов с минимальным написанием собственного кода для аутентификации. Существуют несколько вариантов установки серверной части данного приложения: ▪ как готовый контейнер в Docker; ▪ Standalone версия на операционную систему Linux; ▪ Standalone версия на операционную систему Windows. Системные требования (System Requirements) для сервиса keycloak приведены ниже. These are the requirements to run the Keycloak authentication server: ✓ Can run on any operating system that runs Java ✓ Java 8 JDK ✓ zip or gzip and tar ✓ At least 512M of RAM ✓ At least 1G of diskspace ✓ A shared external database like PostgreSQL, MySQL, Oracle, etc. Keycloak requires an external shared database if you want to run in a cluster. Please see the database configuration section of this guide for more information. ✓ Network multicast support on your machine if you want to run in a cluster. Keycloak can be clustered without multicast, but this requires a bunch of configuration changes. Please see the clustering section of this guide for more information. ✓ On Linux, it is recommended to use /dev/urandom as a source of random data to prevent Keycloak hanging due to lack of available entropy, unless /dev/random usage is mandated by your security policy. To achieve that on Oracle JDK 8 and OpenJDK 8, set the java.security.egd system property on startup to file:/dev/urando 1.1 Установка Keycloak в качестве Docker контейнера Простейшим способом запуска Keycloak будет установка его в качестве контейнера, если ваша инфраструктура уже содержит работающий сервис Docker. Для этого, запустите в сервисе Docker команду: docker run -p 8080:8080 -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=admin quay.io/keycloak/keycloak:11.0.0 Руководство пользователя версия 1.2r 02_2021 2 Настройка 2-факторной аутентификации для VMware vCloud Director Keycloak готов к использованию, если в логах есть следующие строки: 07:37:29,398 INFO [org.jboss.as] (Controller Boot Thread) WFLYSRV0025: Keycloak 10.0.1 (WildFly Core 11.1.1.Final) started in 67444ms - Started 689 of 994 services (708 services are lazy, passive or on-demand) Перейдите на веб-интерфейс Keycloak по ссылке: http://IP:8080/auth/admin 1.2 Установка Keycloak Standalone на виртуальную машину с гостевой ОС Centos7 Официальная документация по установке: https://www.keycloak.org/docs/latest/server_installation/index.html 1.2.1 Подготовка платформы под сервер Для установки службы Keycloak, из шаблона была развернута виртуальная машина с “чистой” операционной системой Centos7. Для управления «проброшены» порт SSH и порт 8080 для сервиса keycloak. Руководство пользователя версия 1.2r 02_2021 3 Настройка 2-факторной аутентификации для VMware vCloud Director При установке Keycloak Standalone Server на виртуальную машину, она не обязательно должна быть расположена в том же облаке, где настраивается 2-факторная аутентификация. Это может быть виртуальный/физический сервер в любой инфраструктуре с выходом в интернет и «проброшенным» на него портом 8080. 1.2.2 Установка необходимых утилит Зайдите на созданный сервер по SSH, обновите систему: yum update Установите необходимые компоненты: yum install gzip yum install tar yum install wget yum install java-1.8.0-openjdk Приложение Keycloak будет запускаться от имени пользователя keycloak. Добавьте пользователя и группу в Centos7: groupadd -r keycloak useradd -m -d /var/lib/keycloak -s /sbin/nologin -r -g keycloak keycloak Важно! Между службами vCloud Director и Keycloak должно быть синхронизировано время. Необходимо убедиться, что часовой пояс выставлен правильно и служба NTP включена: timedatectl set-timezone Europe/Kiev yum install chrony systemctl enable chronyd systemctl start chronyd 1.2.3 Установка дистрибутива Keycloak Standalone Загрузите дистрибутив отсюда: https://www.keycloak.org/downloads Вам нужна эта версия: Руководство пользователя версия 1.2r 02_2021 4 Настройка 2-факторной аутентификации для VMware vCloud Director Скачайте архив tar.gz: wget https://downloads.jboss.org/keycloak/11.0.0/keycloak-11.0.0.tar.gz Распакуйте архив: tar xzvf keycloak-11.0.0.tar.gz Создайте папку /opt/keycloak/current/ и скопируйте туда распакованный архив: mkdir /opt/keycloak/currrent cp -r /root/keycloak-11.0.0 /opt/keycloak/current Предоставьте права на папку: chown keycloak: -R /opt/keycloak cd /opt/keycloak/current sudo -u keycloak chmod 700 standalone Отредактируйте в конфигурационном файле значение IP-адреса, который будет «прослушивать» служба keycloak: nano /opt/keycloak/current/standalone/configuration/standalone.xml Найдите строку с адресом 127.0.0.1 (нажатием сочетания клавиш «ctrl+w») и замените это значение на IP-адрес виртуальной машины (в данном примере это 192.168.0.3, когда виртуальная машина расположена за NAT): Сохраните изменения и закройте редактор (нажатием сочетания