К основному контенту

Быстрый запуск Keycloak в Docker с Nginx и SSL (Let’s Encrypt)

 Keycloak — это мощный инструмент для управления аутентификацией и авторизацией, который можно быстро развернуть локально или на сервере. В этой статье мы настроим Keycloak в Docker с базой PostgreSQL, подключим его через локальный Nginx и обеспечим работу по HTTPS с сертификатами Let’s Encrypt.


🔹 Предварительные шаги

  1. DNS-запись
    Для начала необходимо настроить DNS-запись, указывающую на ваш сервер:

    keycloak.domain.ru    A    <IP вашего сервера>

    Если у вас есть IPv6, можно добавить запись AAAA.

  2. Установка Docker и Docker Compose
    На сервере должны быть установлены:

    apt update && apt install -y docker.io docker-compose
systemctl enable --now docker

  3. Установка Nginx

    apt install -y nginx
systemctl enable --now nginx

🔹 Установка и настройка Let’s Encrypt

  1. Устанавливаем certbot и плагин для Nginx:

    apt install -y certbot python3-certbot-nginx

  2. Получаем сертификат для домена:

    certbot certonly --nginx -d keycloak.domain.ru

    Сертификаты будут сохранены в /etc/letsencrypt/live/keycloak.domain.ru/.

  3. Проверяем автоматическое обновление сертификатов:

    systemctl status certbot.timer

    Certbot автоматически продлевает сертификаты.

🔹 Конфигурация Nginx

Создадим конфиг /etc/nginx/sites-enabled/keycloak.conf:

server {
    listen 80;
    server_name keycloak.domain.ru;

    # Редирект с http на https
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name keycloak.domain.ru;

    ssl_certificate     /etc/letsencrypt/live/keycloak.domain.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/keycloak.domain.ru/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/keycloak.domain.ru/chain.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    access_log /var/log/nginx/keycloak_access.log;
    error_log  /var/log/nginx/keycloak_error.log;

    location / {
        proxy_pass         http://127.0.0.1:8080;
        proxy_http_version 1.1;

        proxy_set_header   Host              $host;
        proxy_set_header   X-Real-IP         $remote_addr;
        proxy_set_header   X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;

        proxy_buffer_size          128k;
        proxy_buffers              4 256k;
        proxy_busy_buffers_size    256k;
    }
}

Проверим и перезапустим Nginx:

nginx -t
systemctl reload nginx

🔹 Docker Compose для Keycloak

В директории /opt/keycloak/docker-compose.yml создадим файл:

services:
  postgres:
    image: postgres:16
    container_name: postgres
    restart: unless-stopped
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: strongpassword
    volumes:
      - ./postgres_data:/var/lib/postgresql/data

  keycloak:
    image: quay.io/keycloak/keycloak:26.3.5
    container_name: keycloak
    environment:
      KC_DB: postgres
      KC_DB_URL_HOST: postgres
      KC_DB_URL_DATABASE: keycloak
      KC_DB_USERNAME: keycloak
      KC_DB_PASSWORD: strongpassword
      KC_HOSTNAME: keycloak.domain.ru
      KC_BOOTSTRAP_ADMIN_USERNAME: admin
      KC_BOOTSTRAP_ADMIN_PASSWORD: admin
      KC_HTTP_ENABLED: "true"
      KC_PROXY: edge
      KC_PROXY_HEADERS: xforwarded
    command: start
    depends_on:
      - postgres
    ports:
      - "127.0.0.1:8080:8080"

🔹 Запуск

Запускаем сервисы:

cd /opt/keycloak
docker-compose up -d

Проверяем логи:

docker logs -f keycloak

Если всё прошло успешно, Keycloak будет доступен по адресу:
👉 https://keycloak.domain.ru/

🔹 Итоги

Теперь у вас есть:

  • Keycloak, развернутый в Docker с PostgreSQL

  • Доступ через Nginx с SSL (Let’s Encrypt)

  • Готовая к использованию панель администратора по адресу https://keycloak.domain.ru

Следующие шаги: создать realm, настроить пользователей и подключить приложения к Keycloak.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Настройка и подключение IPSec в Windows

Настройка IPSec на Windows включает в себя создание правил безопасности и фильтров для защиты сетевого трафика. Ниже — пошаговое руководство. Включение службы IPSec Перед настройкой убедитесь, что служба IPSec Policy Agent запущена: Нажмите Win + R , введите services.msc и нажмите Enter . Найдите IPsec Policy Agent . Если она не работает, нажмите ПКМ → Свойства . Установите Тип запуска: Автоматически , затем нажмите Запустить . Настройка политики IPSec через «Локальную политику безопасности» Нажмите Win + R , введите secpol.msc , нажмите Enter . Перейдите в Политики IP-безопасности в локальном компьютере . В правом окне нажмите Создать политику IP-безопасности → Далее . Укажите имя политики (например, "IPSec VPN"), снимите флажок Активировать правило по умолчанию , нажмите Далее . Нажмите Добавить , чтобы создать правило. Транспортный или туннельный режим : Если IPSec для защищенной локальной сети – выберите Транспортный режим . Если IPSec для VPN – выберите Туннельн...
Отправить комментарий
Далее...

Debian 10: Подключение и Настройка Архивных Репозиториев для Работы

Актуальные рабочие репозитории для Debian 10: подключение и исправление проблем Debian 10 "Buster" официально устарел, и его репозитории были перемещены в архив. Это означает, что стандартные зеркала больше не содержат пакеты для данной версии. Однако можно продолжать использовать Debian 10, подключив архивные репозитории. В этой статье рассмотрим, как правильно настроить систему и устранить возможные проблемы. 1. Подключение архивных репозиториев для Debian 10 Шаг 1: Редактирование файла sources.list Для работы с пакетами необходимо обновить список репозиториев в файле /etc/apt/sources.list . Откройте его с правами суперпользователя: sudo nano /etc/apt/sources.list Замените его содержимое на следующее: deb http://archive.debian.org/debian buster main contrib non-free deb http://archive.debian.org/debian-security buster/updates main contrib non-free deb http://archive.debian.org/debian buster-updates main contrib non-free Сохраните изменения ( Ctrl + X , затем Y и Enter ). Ш...
Отправить комментарий
Далее...

Debian 11: настройка сети и имени хоста /etc/network/interfaces, NetworkManager и systemd-networkd

Как настроить сеть в Debian 11? 🔹 1. Настройка через /etc/network/interfaces (Традиционный способ) Этот метод удобен для серверов и минималистичных систем без NetworkManager . Открываем конфигурационный файл: sudo nano /etc/network/interfaces 🔹 DHCP (Автоматическое получение IP) auto eth0 iface eth0 inet dhcp 🔹 Статический IP auto eth0 iface eth0 inet static address 192.168.1.100 netmask 255.255.255.0 gateway 192.168.1.1 dns-nameservers 8.8.8.8 8.8.4.4 🔹 Wi-Fi (WPA2) auto wlan0 iface wlan0 inet dhcp wpa-ssid "Название_сети" wpa-psk "Пароль" 📌 Применение изменений: sudo systemctl restart networking 🔹 2. Настройка через NetworkManager (Удобно для десктопов) Проверяем статус: systemctl status NetworkManager Если не установлен, ставим: sudo apt install network-manager sudo systemctl enable --now NetworkManager 🔹 Графический интерфейс (TUI) nmtui Выберите Edit a connection , настройте параметры и сохраните. 🔹 Консольный способ ( nmcli ...
Отправить комментарий
Далее...