我尝试使用 keycloak-proxy 将 Zabbix UI 与 Keycloak SSO 集成。 我的设置如下:
- Nginx 是入口点:它处理“虚拟主机”,将请求转发到 keycloak-proxy。
- Keyclock-proxy 配置了 client_id、client_secret 等,用于向 Keycloak 验证用户身份;
- Apache 上的 Zabbix 仪表板,默认设置:我启用 HTTP 身份验证。
我在 Keycloak 和 Zabbix 中创建了一个测试用户。 身份验证流程正常:我被重定向到 KeyCloak,我进行身份验证,但我总是收到“登录名或密码不正确”。来自 Zabbix UI。
我做错了什么? 有人尝试过在 Zabbix 中使用 OIDC 身份验证吗?
我正在使用 Zabbix 4.0、KeyCloak 4.4、Keycloak-proxy 2.3.0。
keycloak-代理配置:
client-id: zabbix-client
client-secret: <secret>
discovery-url: http://keycloak.my.domain:8080/auth/realms/myrealm
enable-default-deny: true
enable-logout-redirect: true
enable-logging: true
encryption_key: <secret>
listen: 127.0.0.1:10080
redirection-url: http://testbed-zabbix.my.domain
upstream-url: http://a.b.c.d:80/zabbix
secure-cookie: false
enable-authorization-header: true
resources:
- uri: /*
roles:
- zabbix
最佳答案
Zabbix 需要带有用户名的 PHP_AUTH_USER (或 REMOTE_USER 或 AUTH_USER) header ,但 keycloak-proxy 不提供它。让我们使用电子邮件作为用户名(理论上您可以使用访问 token 中的任何声明)。将电子邮件添加到 keycloak-proxy 配置中的请求 header :
add-claims:
- email
并从 Zabbix Apache 配置中的电子邮件 header 创建 PHP_AUTH_USER 变量:
SetEnvIfNoCase X-Auth-Email "(.*)" PHP_AUTH_USER=$1
注意:Conf 语法可能不正确,因为它不在我的脑海中 - 它可能需要一些调整。
顺便说一句:有一个(黑客)用户补丁可用 - https://support.zabbix.com/browse/ZBXNEXT-4640 ,但 keycloak-gatekeeper 是更好的解决方案
郑重声明:keycloak-proxy = keycloak-gatekeeper(该项目最近已重命名并迁移到 keycloak org)
关于authentication - 使用 Keycloak-proxy 进行 Zabbix HTTP 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52514278/