lscorcia
commented
3 years ago Ciao, suppongo che abbiate anche fatto la configurazione dell'autenticazione CNS cliccando sul comando "Actions" > "Config". Potete fare riferimento alla seguente immagine:
(Devo decisamente trovare il tempo di scrivere un po' di documentazione su questo plugin!)
Se Keycloak torna alla schermata iniziale, vuol dire che non ha trovato un certificato CNS valido per l'autenticazione. Vi consiglio anche di dare una occhiata al contenuto del file server.log , il plugin logga i principali errori lì dentro (es. policy mancanti, certificato non presente o non valido, etc.).
Una cosa importante da tenere a mente è questa: l'autenticazione CNS è in realtà una autenticazione mutual SSL, in cui il server presenta un certificato al client e opzionalmente una serie di root certificate trusted, e se il client trova un certificato rispondente ai root cert presentati, può fornire il proprio al client per l'autenticazione. E' quindi il webserver sottostante, e non Keycloak, a gestire l'autenticazione. Questo significa che l'autenticazione andrà configurata opportunamente anche a livello di file standalone.xml.
Molto probabilmente avrete configurato già il file indicando l'opzione mutual SSL come "requested" e non come "required", visto che avete su un singolo realm più tipi di autenticazione. In tal caso, il server invia al client la trusted list di root certificate, che quindi vanno caricati nel keystore. Problema: le CNS hanno una trustlist ENORME! Ci sono centinaia di certificati root abilitati a emettere CNS, e se inserisci tutti questi certificati nel keystore, il server li manderà tutti al browser e il browser rifiuterà la connessione https perché dal suo punto di vista supera i limiti di dimensione e sembra quasi un denial of service.
La soluzione è quindi impostare l'autenticazione SSL mutual come "required", e lasciare la trusted list del server vuota. In questo modo il server chiederà esplicitamente al client l'autenticazione SSL mutual, senza inviare alcun certificato di root suggerito. Sarà poi il mio plugin a valutare se il certificato è nella trustlist.
Nel vostro scenario, questo comporta però che gli altri meccanismi di autenticazione non funzioneranno più, visto che il webserver vorrà la presentazione di un certificato per l'autenticazione mutual SSL prima di arrivare a Keycloak. Ovviamente questo non è bello, e quindi ho trovato un workaround. Nel file standalone.xml, si può mettere Keycloak in listening su una porta aggiuntiva, e configurare l'autenticazione mutual SSL "required" solo sulla porta aggiunta. Dopodiché definite un realm separato per l'autenticazione SSL e lo esponete su un URL differente tramite reverse proxy (ad es. https://logincns.company.com). Create poi un identity provider sul realm principale e utilizzate il realm CNS come se fosse un autenticatore remoto.
Purtroppo per la natura della tecnologia sottostante il giro è un po' complesso, ma funziona.
Ciao anche qui,
premettiamo che anche qui si tratta di una question!
A quanto abbiamo capito sia leggendo il modulo in php disponibile qui:
sia quello scritto da te abbiamo capito che il certificato letto da cie e cns viene estratto e controllato localmente al server , nel nostro caso keycloak , senza ulteriori verifiche di terze parti. Una volta passati i controlli, vengono usati i dettagli del subject presenti sul certificato, è corretto?
Noi abbiamo compilato e deployato senza problemi il modulo cns-authenticator , ma abbiamo dubbi per capire come usarlo ; La versione utilizzata è keycloak 11 e non il 12,come consigliato da te , ma potremmo provare il 12 se secondo te abbiamo configurato le form sotto in modo corretto.
Precedentemente per la parte CNS abbiamo usato i componenti X509 keycloak di default, per l’autenticazione da parte di dipendenti su un db su cui siamo owner.
L’auth flow di massima è quello nell’immagine sotto, nella parte configuration mi sono limitato ad estrarre parte del subject (il CF) ed a confrontarla con un campo CF specifico dello user presente sul db interno di keycloak, se i campi coincidono, permetto l’accesso all’utente.
Abbiamo provato a impostare un flusso simile usando il modulo da te fornito, stiamo facendo bene? Ci potresti fornire delle indicazioni di massima? 😊 Che configuration ci suggerisci di adottare riguardo all’ultima riga dell’immagine sotto?
Una volta arrivati alla pagina di login, usando un client embedded (client id : account) , abbiamo la seguente schermata:
Cliccando su “try another way”:
Usando la seconda opzione torno sempre ad una schermata dove mi chiede user e pass, non il popup del certificato della cns che ho inserito, non so se sia dovuto al fatto che non ho ancora testato con una applicazione esterna o qualche configurazione inesatta che ho fatto!
La domanda più importante è: dove sbagliamo? :O Ti ringraziamo in anticipo anche su questo modulo!