今日やること
Keycloakアドベンドカレンダー13日目の今回はKeycloakの機能として提供されている「ユーザーフェデレーション機能」を利用した、LDAPでの認証および情報の連携を試してみようと思います。
KeycloakでLDAP認証を有効にすると、LDAP上に登録されているユーザー情報を用いてSSOを実現することができます。これによって、元々はログイン時にLDAPサーバを参照していたというアプリケーションをKeycloakのSSO連携先として追加することが容易になります。
認証だけでなく、LDAPに登録されているユーザー情報をKeycloakへ一括登録したり、逆にKeycloakからLDAPにユーザー情報を登録したりといったこともついでに試してみました。
やることをまとめると以下の3つです。
- LDAP上に登録されているユーザーでログインする
- LDAPからKeycloakにユーザーを追加する
- KeycloakからLDAPにユーザーを追加する
今回利用した環境
サーバ構成
FQDN | OS | プロダクト | |
---|---|---|---|
SSOサーバ | keycloak.example.com | CentOS 7.4 (kernel 3.10.0-693) | Keycloak 3.4.0.Final |
LDAPサーバ | ldap.example.com | CentOS 7.4 (kernel 3.10.0-693) | OpenLDAP 2.4.44 |
LDAPのディレクトリの階層構成
今回はベースディレクトリをdc=example,dc=com
として、ou=People,dc=example,dc=com
配下にユーザーを作成していきます。
test0001
、test0002
、test0003
というユーザーを用意しています。これらのユーザーのobjectClassにはtop
、account
、posixAccount
、shadowAccount
を指定しています。
posixAccount
を指定していることにより、cn
、uid
、uidNumber
、gidNumber
、homeDirectory
が必須となっています。
Managerのパスワードは今回password
に設定しています。
ldapsearch -x -b 'dc=example,dc=com'
の結果は以下の通りです。
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# example.com
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
dc: example
o: Example Inc.
# People, example.com
dn: ou=People,dc=example,dc=com
objectClass: organizationalUnit
ou: People
# Group, example.com
dn: ou=Group,dc=example,dc=com
objectClass: organizationalUnit
ou: Group
# Manager, example.com
dn: cn=Manager,dc=example,dc=com
objectClass: organizationalRole
cn: Manager
# test0001, People, example.com
dn: uid=test0001,ou=People,dc=example,dc=com
uid: test0001
cn: test0001
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
shadowLastChange: 0
shadowMin: 0
shadowMax: 99999
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/test0001
# test0002, People, example.com
dn: uid=test0002,ou=People,dc=example,dc=com
uid: test0002
cn: test0002
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
shadowLastChange: 0
shadowMin: 0
shadowMax: 99999
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/test0002
# test0003, People, example.com
dn: uid=test0003,ou=People,dc=example,dc=com
uid: test0003
cn: test0003
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
shadowLastChange: 0
shadowMin: 0
shadowMax: 99999
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/test0003
# search result
search: 2
result: 0 Success
# numResponses: 8
# numEntries: 7
LDAP上に登録されているユーザーでログインする
まずはすでにLDAPに保存されているユーザーを認証に利用する手順を見ていきます。
Keycloakの設定手順
ここではKeycloakのユーザーフェデレーションの設定を実施していきます。なお、今回使用するレルムはdemo
レルムとします。
- Keycloakの管理コンソールにログインします。
- 左メニューバーから、
demo
レルムを選択します。 - 左メニューバーで
ユーザーフェデレーション
をクリックします。 - 右上の
プロバイダーを追加...
からLDAP
を選択します。 - 以下のように設定値を入力して、
保存
をクリックします。- Import Users:
オフ
- 編集モード:
READ_ONLY
- ベンダー:
Other
- UUID LDAP 属性:
uid
- ユーザーオブジェクトクラス:
top,account,posixAccount,shadowAccount
- 接続 URL:
ldap://ldap.example.com
- ユーザー DN:
ou=People,dc=example,dc=com
- Bind DN:
cn=Manager,dc=example,dc=com
- Bind のクレデンシャル:
password
- 上記以外はデフォルトのまま
- デフォルトのままだとコンソール表示名は
ldap
となります
- Import Users:
この段階ではまだユーザーのインポートは実施しません。
動作確認
http://keycloak.example.com:8080/auth/realms/Demo/account にアクセスします。
ログイン画面が表示されるので、LDAPに登録されているユーザーでログインします。
ログインできました。この時のLDAPサーバ側のログには次のような出力がされています。
slapd[30280]: conn=1273 fd=24 ACCEPT from IP=XXX.XXX.XXX.XXX:XXXXX (IP=0.0.0.0:389)
slapd[30280]: conn=1273 op=0 BIND dn="cn=Manager,dc=example,dc=com" method=128
slapd[30280]: conn=1273 op=0 BIND dn="cn=Manager,dc=example,dc=com" mech=SIMPLE ssf=0
slapd[30280]: conn=1273 op=0 RESULT tag=97 err=0 text=
slapd[30280]: conn=1273 op=1 SRCH base="ou=People,dc=example,dc=com" scope=1 deref=3 filter="(&(objectClass=*)(uid=ユーザー名))"
slapd[30280]: conn=1273 op=1 SRCH attr=uid mail sn cn objectclass createTimestamp modifyTimestamp
slapd[30280]: <= bdb_equality_candidates: (uid) not indexed
slapd[30280]: conn=1273 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
slapd[30280]: conn=1274 fd=25 ACCEPT from IP=XXX.XXX.XXX.XXX:XXXXX (IP=0.0.0.0:389)
slapd[30280]: conn=1274 op=0 BIND dn="uid=ユーザー名,ou=People,dc=example,dc=com" method=128
slapd[30280]: conn=1274 op=0 BIND dn="uid=ユーザー名,ou=People,dc=example,dc=com" mech=SIMPLE ssf=0
slapd[30280]: conn=1274 op=0 RESULT tag=97 err=0 text=
slapd[30280]: conn=1274 op=1 UNBIND
slapd[30280]: conn=1274 fd=25 closed
LDAPサーバでログインしようとしているユーザーの存在確認をManagerとして実行し、存在していれば認証処理を実行していることが分かります。
パスワードの変更を試みます。すると以下の画像のように変更ができません。これは編集モードをREAD_ONLY
としているためです。
編集モードを
WRITABLE
に変更すればKeycloakからLDAPへパスワードなどのユーザー情報を変更することが可能になります。また、編集モードをUNSYNCED
に変更してもユーザー情報の変更は可能ですが、後述のKeycloakDBには変更が適用される一方、LDAPには書き戻しがされません。編集モードを
UNSYNCED
にした場合の挙動はこちらもご参照ください。
LDAPからKeycloakにユーザーを追加する
Keycloakの操作のみでLDAPに登録されているユーザーをKeycloakが持っているDB(KeycloakDB)に一括で追加することができます。
Keycloakの設定手順
- Keycloakの管理コンソールにログインします。
- 左メニューバーから、
demo
レルムを選択します。 - 左メニューバーで
ユーザーフェデレーション
をクリックします。 -
ldap
をクリックします。 - import Usersを
オン
にします。 -
保存
をクリックします。 -
すべてのユーザーを同期
をクリックします。
動作確認
左メニューバーでユーザー
をクリックしたあと、ページ上部にある全てのユーザーを参照
をクリックするとLDAPに登録されているユーザーが表示されます。この操作によって、LDAPに登録されているユーザーがKeycloakDBに反映されていることが確認できます。
なお、管理コンソールからユーザー情報の変更を試みても、編集モードがREAD_ONLY
となっているままでは変更に失敗します。先述の通り、編集モードをWRITABLE
やUNSYNCED
に変更すれば、Keycloakの画面でユーザー情報を変更することが可能です。
しかし、編集モードがREAD_ONLY
のままユーザーの削除を試みると削除することが可能です。削除を実行した直後、Keycloakのログに下記のような出力がされます。
WARN [org.keycloak.storage.ldap.LDAPStorageProvider] (default task-5) User 'ユーザー名' can't be deleted in LDAP as editMode is 'READ_ONLY'. Deleting user just from Keycloak DB, but he will be re-imported from LDAP again once searched in Keycloak
これはKeycloakDBからは削除されるものの、LDAPでは削除されないという旨を示しています。もう一度Keycloakからこの削除したユーザーを検索した場合(例えばこの削除したユーザーがログインをした場合など)は再度LDAPからKeycloakDBにインポートされます。
編集モードが
UNSYNCED
の場合も同様の挙動を示しますが、WRITABLE
の場合はKeycloakDBからもLDAPからも削除されます。
KeycloakからLDAPにユーザーを追加する
こちらもKeycloakの操作のみでKeycloakからLDAPへユーザー登録が可能になります。
ここまではマッパーの設定をしなくても使用することはできましたが、KeycloakからLDAPにユーザーを登録する場合はobjectClassの必須項目についてマッパーの設定を適切に行う必要があります。このマッパーの設定を行うことにより、Keycloak側とLDAP側のそれぞれの属性の対応関係を定義することができます。
Keycloakの設定手順
- Keycloakの管理コンソールにログインします。
- 左メニューバーから、
demo
レルムを選択します。 - 左メニューバーで
ユーザーフェデレーション
をクリックします。 -
ldap
をクリックします。 -
以下のように設定値を入力して、
保存
をクリックします。 画面上部の
マッパー
のタブをクリックします。-
不要な項目の削除します。
-
作成
ボタンをクリックして以下のように設定項目を変更します。- cnのマッピング追加
-
作成
ボタンをクリック - 以下項目を入力
- 名前:
cn
(任意) - マッパータイプ:
user-attribute-ldap-mapper
- User Model Attribute:
username
- LDAP Attribute:
cn
- 上記以外は上記以外はデフォルトのまま
- 名前:
-
save
をクリック
-
- uidNumberのマッピング追加
-
作成
ボタンをクリック - 以下項目を入力
- 名前:
uidNumber
(任意) - マッパータイプ:
hardcoded-ldap-attribute-mapper
- LDAP Attribute Name:
uidNumber
- LDAP Attribute Value:
1001
(インクリメント機能などがあれば良いのですが、実装されていないようです。) - 上記以外は上記以外はデフォルトのまま
- 名前:
-
save
をクリック
-
- gidNumberのマッピング追加
-
作成
ボタンをクリック - 以下項目を入力
- 名前:
gidNumber
(任意) - マッパータイプ:
hardcoded-ldap-attribute-mapper
- LDAP Attribute Name:
gidNumber
- LDAP Attribute Value:
1001
- 上記以外は上記以外はデフォルトのまま
- 名前:
-
save
をクリック
-
- homeDirectoryのマッピング追加
-
作成
ボタンをクリック - 以下項目を入力
- 名前:
homeDirectory
(任意) - マッパータイプ:
hardcoded-ldap-attribute-mapper
- LDAP Attribute Name:
homeDirectory
- LDAP Attribute Value:
/home/${RANDOM}
(いまのところ固定値以外を振りたい場合はランダムとする方法しかないようです。) - 上記以外は上記以外はデフォルトのまま
- 名前:
-
save
をクリック
-
- 例えばcnのマッピング情報は以下のようになっているはずです
- 最終的にマッパーの一覧は次の通りになります。
- cnのマッピング追加
動作確認
左メニューバーでユーザー
をクリックしたあと画面右上のユーザーの追加
をクリックします。ユーザー名を入力し、保存
をクリックするとユーザーの登録が完了します。
今回はkctest
というユーザーを作成しました。
まずKeycloakDB側ですが、左メニューバーでユーザー
をクリックすると新たに追加されたユーザーを確認することができます。
次にLDAP側ですが、ldapsearch -x -b 'uid=kctest,ou=People,dc=example,dc=com'
を実行すると対象のユーザーが確認することができます。
# extended LDIF
#
# LDAPv3
# base <uid=kctest,ou=People,dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# kctest, People, example.com
dn: uid=kctest,ou=People,dc=example,dc=com
gidNumber: 1001
uidNumber: 1001
uid: kctest
objectClass: posixAccount
objectClass: top
objectClass: account
objectClass: shadowAccount
homeDirectory: /home/hjRHlStH8aOI0PdxjbmjCxbnK3cRMp
cn: kctest
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
このままではまだパスワードが設定されていないので、ログインする前にパスワードを設定するのを忘れないようご注意ください。パスワードを設定すればログインすることができます。
まとめ
今回はKeycloakのユーザーフェデレーション機能によって、LDAPに登録されているユーザーでログインをする方法や、Keycloak・LDAPそれぞれにユーザーを追加する方法を確認しました。一つのLDAPで設定を試しましたが、同じ手順を踏むことで複数のLDAPやADにも対応することができます。
ちなみに今回はあまり表立って触れませんでしたが、マッパーの設定を行うことによってLDAPに登録されているさまざまな属性をKeycloakへ連携できますのでぜひお試しください。
LDAPに登録されている情報を利用しているシステムであれば、Keycloakで認証をしているかのようにLDAPを利用したSSOを簡単に実現することができますので、この記事の内容ご参照頂いて身近に利用している既存システムへもご活用いただければと思います!!
補)不思議な現象
今回、途中に編集モードを変えた場合の挙動も解説しましたが、Import Usersをオフ
、編集モードをUNSYNCED
に設定した状態でパスワードに変更を加えた場合に少し不思議だと思った現象が発生しましたので軽く紹介しようと思います。
Import Usersがオフ
であることからKeycloakDBにはユーザー情報が全くないものと考えられます。また、編集モードがUNSYNCED
なためLDAPへは変更内容が反映されず結果的に変更は一切加わらないと考えたのですが、その変更を実施した後では変更後のパスワードでないと認証が通りませんでした。
この時のLDAPのログを見るとユーザーの存在確認は行っているのですが、認証処理はLDAPで行っておらずKeycloak側で行っていました。
画面側には表示されないだけで、パスワードの変更を行った時点でKeycloakのDB側では何らかの形でユーザー情報が格納されているということなのでしょうか。この現象については引き続き調査したいと思っています。
このように編集モードをUNSYNCED
にすると若干直感的でない挙動を示すことがありそうなので注意が必要そうです。