К основному контенту

Быстрый запуск Keycloak в Docker с Nginx и SSL (Let’s Encrypt)

 Keycloak — это мощный инструмент для управления аутентификацией и авторизацией, который можно быстро развернуть локально или на сервере. В этой статье мы настроим Keycloak в Docker с базой PostgreSQL, подключим его через локальный Nginx и обеспечим работу по HTTPS с сертификатами Let’s Encrypt.


🔹 Предварительные шаги

  1. DNS-запись
    Для начала необходимо настроить DNS-запись, указывающую на ваш сервер:

    keycloak.domain.ru    A    <IP вашего сервера>

    Если у вас есть IPv6, можно добавить запись AAAA.

  2. Установка Docker и Docker Compose
    На сервере должны быть установлены:

    apt update && apt install -y docker.io docker-compose
systemctl enable --now docker

  3. Установка Nginx

    apt install -y nginx
systemctl enable --now nginx

🔹 Установка и настройка Let’s Encrypt

  1. Устанавливаем certbot и плагин для Nginx:

    apt install -y certbot python3-certbot-nginx

  2. Получаем сертификат для домена:

    certbot certonly --nginx -d keycloak.domain.ru

    Сертификаты будут сохранены в /etc/letsencrypt/live/keycloak.domain.ru/.

  3. Проверяем автоматическое обновление сертификатов:

    systemctl status certbot.timer

    Certbot автоматически продлевает сертификаты.

🔹 Конфигурация Nginx

Создадим конфиг /etc/nginx/sites-enabled/keycloak.conf:

server {
    listen 80;
    server_name keycloak.domain.ru;

    # Редирект с http на https
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name keycloak.domain.ru;

    ssl_certificate     /etc/letsencrypt/live/keycloak.domain.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/keycloak.domain.ru/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/keycloak.domain.ru/chain.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    access_log /var/log/nginx/keycloak_access.log;
    error_log  /var/log/nginx/keycloak_error.log;

    location / {
        proxy_pass         http://127.0.0.1:8080;
        proxy_http_version 1.1;

        proxy_set_header   Host              $host;
        proxy_set_header   X-Real-IP         $remote_addr;
        proxy_set_header   X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;

        proxy_buffer_size          128k;
        proxy_buffers              4 256k;
        proxy_busy_buffers_size    256k;
    }
}

Проверим и перезапустим Nginx:

nginx -t
systemctl reload nginx

🔹 Docker Compose для Keycloak

В директории /opt/keycloak/docker-compose.yml создадим файл:

services:
  postgres:
    image: postgres:16
    container_name: postgres
    restart: unless-stopped
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: strongpassword
    volumes:
      - ./postgres_data:/var/lib/postgresql/data

  keycloak:
    image: quay.io/keycloak/keycloak:26.3.5
    container_name: keycloak
    environment:
      KC_DB: postgres
      KC_DB_URL_HOST: postgres
      KC_DB_URL_DATABASE: keycloak
      KC_DB_USERNAME: keycloak
      KC_DB_PASSWORD: strongpassword
      KC_HOSTNAME: keycloak.domain.ru
      KC_BOOTSTRAP_ADMIN_USERNAME: admin
      KC_BOOTSTRAP_ADMIN_PASSWORD: admin
      KC_HTTP_ENABLED: "true"
      KC_PROXY: edge
      KC_PROXY_HEADERS: xforwarded
    command: start
    depends_on:
      - postgres
    ports:
      - "127.0.0.1:8080:8080"

🔹 Запуск

Запускаем сервисы:

cd /opt/keycloak
docker-compose up -d

Проверяем логи:

docker logs -f keycloak

Если всё прошло успешно, Keycloak будет доступен по адресу:
👉 https://keycloak.domain.ru/

🔹 Итоги

Теперь у вас есть:

  • Keycloak, развернутый в Docker с PostgreSQL

  • Доступ через Nginx с SSL (Let’s Encrypt)

  • Готовая к использованию панель администратора по адресу https://keycloak.domain.ru

Следующие шаги: создать realm, настроить пользователей и подключить приложения к Keycloak.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Debian 10: Подключение и Настройка Архивных Репозиториев для Работы

Актуальные рабочие репозитории для Debian 10: подключение и исправление проблем Debian 10 "Buster" официально устарел, и его репозитории были перемещены в архив. Это означает, что стандартные зеркала больше не содержат пакеты для данной версии. Однако можно продолжать использовать Debian 10, подключив архивные репозитории. В этой статье рассмотрим, как правильно настроить систему и устранить возможные проблемы. 1. Подключение архивных репозиториев для Debian 10 Шаг 1: Редактирование файла sources.list Для работы с пакетами необходимо обновить список репозиториев в файле /etc/apt/sources.list . Откройте его с правами суперпользователя: sudo nano /etc/apt/sources.list Замените его содержимое на следующее: deb http://archive.debian.org/debian buster main contrib non-free deb http://archive.debian.org/debian-security buster/updates main contrib non-free deb http://archive.debian.org/debian buster-updates main contrib non-free Сохраните изменения ( Ctrl + X , затем Y и Enter ). Ш...
Отправить комментарий
Далее...

Настройка и подключение IPSec в Windows

Настройка IPSec на Windows включает в себя создание правил безопасности и фильтров для защиты сетевого трафика. Ниже — пошаговое руководство. Включение службы IPSec Перед настройкой убедитесь, что служба IPSec Policy Agent запущена: Нажмите Win + R , введите services.msc и нажмите Enter . Найдите IPsec Policy Agent . Если она не работает, нажмите ПКМ → Свойства . Установите Тип запуска: Автоматически , затем нажмите Запустить . Настройка политики IPSec через «Локальную политику безопасности» Нажмите Win + R , введите secpol.msc , нажмите Enter . Перейдите в Политики IP-безопасности в локальном компьютере . В правом окне нажмите Создать политику IP-безопасности → Далее . Укажите имя политики (например, "IPSec VPN"), снимите флажок Активировать правило по умолчанию , нажмите Далее . Нажмите Добавить , чтобы создать правило. Транспортный или туннельный режим : Если IPSec для защищенной локальной сети – выберите Транспортный режим . Если IPSec для VPN – выберите Туннельн...
Отправить комментарий
Далее...

Полный обзор AWX для Ansible: возможности, назначение и логика работы

AWX — это веб-интерфейс, REST API и механизм управления для Ansible, который делает автоматизацию удобнее и управляемее. Он является основой для Red Hat Ansible Automation Platform (AAP) и предоставляет мощные возможности для администрирования инфраструктуры. 🔹 Возможности AWX Управление инвентарем Подключение к динамическим инвентарям (например, AWS, GCP, VMware). Группировка хостов и управление ими через GUI. Импорт инвентаря из статических файлов (INI, YAML, JSON). Планирование и выполнение заданий Запуск плейбуков по расписанию. Возможность ручного запуска через интерфейс. Параллельное выполнение нескольких задач. Контроль доступа и безопасность Ролевая модель управления (RBAC). Поддержка интеграции с LDAP, SAML, OAuth. Гибкие политики доступа к ресурсам. Логирование и мониторинг Детальный журнал выполнения задач. Интеграция с Grafana, Prometheus, ELK. Уведомления (Slack, Email, Webhook). CI/CD и интеграция с SCM Авто...
Отправить комментарий
Далее...