Wildfly standalone.xml — передача секрета в KeyCloak SPI из хранилища учетных данных elytron

McLayn

07.01.2023, 09:37

Я переношу пароли KeyCloak v15 (WildFly v23) из старого хранилища в хранилище учетных данных elytron. Он отлично работает для стандартного варианта использования. В автономный.xml, У меня есть: /сервер/расширения/расширение:

<extension module="org.wildfly.extension.elytron"/>

/сервер/профиль/подсистема:

<subsystem xmlns="urn:wildfly:elytron:13.0" final-providers="elytron" disallowed-providers="OracleUcrypto">
    <providers>
        <provider-loader name="elytron" module="org.wildfly.security.elytron"/>
    </providers>
    <audit-logging>
        <file-audit-log name="local-audit" path="audit-log.log" relative-to="jboss.server.log.dir" format="JSON"/>
    </audit-logging>
    <credential-stores>
        <credential-store name="credStore" location="/data/credStore.jceks">
            <implementation-properties>
                <property name="keyStoreType" value="JCEKS"/>
            </implementation-properties>
            <credential-reference clear-text="MASK-123456789;salt123;42"/>
        </credential-store>
    </credential-stores>
</subsystem>

и я получаю доступ к паролям, используя /server/profile/subsystem[@xmlns="urn:jboss:domain:jgroups:8.0"]/stacks/stack[@name="tcp"]/auth-protocol/digest-token/shared-secret-reference:

<shared-secret-reference store="credStore" alias="myBlock::mySecret"/>

Однако есть один секрет, который мне нужно передать SPI в свойстве. Любая идея, как это сделать? Это был старый способ хранилища:

/сервер/система-свойства/свойство:

<property name="secret" value="${VAULT::myBlock::mySecret::1}"/>

/server/profile/subsystem[@xmlns="urn:jboss:domain:keycloak-server:1.1"]/spi:

<spi name="mySpi">
    <provider name="file" enabled="true">
        <properties>
            <property name="password" value="${secret}"/>
        </properties>
    </provider>
</spi>

311

0 + 0

телефония

муха

плащ для ключей

Рейтинг:0

Server

McLayn

09.03.2023, 12:30

Мне пришлось переписать наш SPI для чтения содержимого хранилища учетных данных Elytron:

импортировать org.jboss.as.server.CurrentServiceContainer;
импортировать org.jboss.msc.service.ServiceController;
импортировать org.jboss.msc.service.ServiceName;
импортировать org.jboss.msc.service.ServiceRegistry;
импортировать org.wildfly.security.credential.PasswordCredential;
импортировать org.wildfly.security.credential.store.CredentialStore;
импортировать org.wildfly.security.credential.store.CredentialStoreException;
импортировать org.wildfly.security.password.Password;
импортировать org.wildfly.security.password.interfaces.ClearPassword;

  частная статическая строка getClientSecret (String credentialStore, String secretAlias) {
    final ServiceName SERVICE_NAME_CRED_STORE = ServiceName.of("org", "wildfly", "security", "credential-store");
    final ServiceName sn = ServiceName.of(SERVICE_NAME_CRED_STORE, credentialStore);
    окончательный реестр ServiceRegistry = CurrentServiceContainer.getServiceContainer();
    final ServiceController<?> credStoreService = Registration.getService(sn);
    final CredentialStore cs = (CredentialStore) credStoreService.getValue();
// если (!cs.exists(secretAlias, PasswordCredential.class)) {
// бросаем новое исключение CredentialStoreException("Псевдоним " + secretAlias + " не найден в хранилище учетных данных.");
// }
    окончательный пароль пароль;
    пытаться {
      пароль = cs.retrieve(secretAlias, PasswordCredential.class).getPassword();
    } поймать (CredentialStoreException e) {
      e.printStackTrace();
      вернуть ноль;
    }
    if (!(экземпляр пароля ClearPassword)) {
      throw new ClassCastException("Пароль не относится к типу ClearPassword");
    }
    вернуть новую строку (((ClearPassword) password).getPassword());
  }

0 + 0

Рейтинг:0

Server

McLayn

14.01.2023, 18:06

Я нашел 2 возможности:

Перепишите SPI, чтобы получить секрет непосредственно из хранилища учетных данных Elytron на Java.
Заранее установите переменную среды (экспортировать SECRET="$(секрет-геттер-скрипт)") и используйте переменную в автономный.xml:

<spi name="mySpi">
    <provider name="file" enabled="true">
        <properties>
            <property name="password" value="${env.SECRET}"/>
        </properties>
    </provider>
</spi>

0 + 0

McLayn

09.03.2023, 12:28

В конце концов, использование переменной среды было недостаточно безопасным для нашего использования, и мне пришлось научить наш SPI читать содержимое хранилища учетных данных Elytron.

Ответить

Admin

Этот вопрос на других языках:

EN: Wildfly standalone.xml - passing secret to KeyCloak SPI from elytron credential store

TH: Wildfly standalone.xml - ส่งผ่านข้อมูลลับไปยัง KeyCloak SPI จากที่เก็บข้อมูลรับรอง elytron

RO: Wildfly standalone.xml - transmiterea secretului către KeyCloak SPI din magazinul de acreditări elytron

RU: Wildfly standalone.xml — передача секрета в KeyCloak SPI из хранилища учетных данных elytron

VI: Wildfly standalone.xml - chuyển bí mật tới KeyCloak SPI từ cửa hàng thông tin đăng nhập elytron

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.