Harbor对接OIDC

最新推荐文章于 2024-03-17 22:11:56 发布
最新推荐文章于 2024-03-17 22:11:56 发布
阅读量2k 收藏 2
点赞数
分类专栏: 容器 文章标签: docker keyclock harbor oidc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42758299/article/details/117388008
版权

Linux版本:

Linux node3 3.10.0-1127.el7.x86_64 #1 SMP Tue Mar 31 23:36:51 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

1、关闭防火墙和selinux

2、安装docker-ce

yum install -y yum-utils

yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

yum install docker-ce docker-ce-cli containerd.io -y

systemctl enable docker; systemctl start docker

3、安装docker-compose

harbor对docker-compose版本有要求,尽量安装较高版本

curl -L "https://get.daocloud.io/docker/compose/releases/download/1.27.3/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

aarch64版本安装:

yum install python3-pip

pip3 install docker-compose

4、安装harbor

4.1 下载harbor

使用离线安装包安装

curl -OL https://github.com/goharbor/harbor/releases/download/v2.2.2/harbor-offline-installer-v2.2.2.tgz

4.2 解压

tar -xf harbor-offline-installer-v2.2.2.tgz

4.3 harbor配置

进入harbor目录,拷贝一份模板配置文件进行修改:

cd harbor

cp harbor.yml.tmpl harbor.yml

参数说明:

//node3为本机主机名,需要事先在/etc/hosts配好

hostname: node3

//使用oidc

auth_mode: oidc_auth

//修改登录密码

harbor_admin_password: 123

//如果使用http则把以下行注释:

‘’’

https:

  # https port for harbor, default is 443

  port: 445

  # The path of cert and key files for nginx

  certificate: /etc/harbor/node3.crt

  private_key: /etc/harbor/node3.key

‘’’

//如果使用https则把以下行注释,同时需要生成https所需文件:

‘’’

http:

  # port for http, default is 80. If https enabled, this port will redirect to https port

  port: 80

‘’’

使用该脚本即可,并将node3.key和node3.crt拷贝到harbor.yml配置文件中配置的路径,注意将以下脚本中的node3改为自己的域名或主机名:

openssl genrsa -out ca.key 4096

openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=node3" -key ca.key -out ca.crt

openssl genrsa -out node3.key 4096

openssl req -sha512 -new -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=node3" -key node3.key -out node3.csr

cat > v3.ext <<-EOF

authorityKeyIdentifier=keyid,issuer

basicConstraints=CA:FALSE

keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment

extendedKeyUsage = serverAuth

subjectAltName = @alt_names

[alt_names]

DNS.1=node3

DNS.2=node3.com

DNS.3=node3

EOF

openssl x509 -req -sha512 -days 3650 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in node3.csr -out node3.crt

openssl x509 -inform PEM -in node3.crt -out node3.cert

cp node3.crt /etc/pki/ca-trust/source/anchors/node3.crt

update-ca-trust

4.4 开始安装

如果使用http执行执行install.sh

如果使用https需要执行prepare脚本,经测试,只执行install.sh即可

./prepare

详见Harbor docs | Configure HTTPS Access to Harbor

问题:第一次配置即使用https,此时本地会提示本地没有prepare镜像,会从远端拉取,此时的做法应该是先执行install.sh脚本,再执行./prepare,然后再执行install.sh

5、登录harbor页面

注意:此时登录没有通过OIDC登录选项,需等到配置oidc且测试连接通过后才有该选项,此时暂不考虑,继续往下走

注意使用浏览器打开harbor页面时使用域名,不要使用ip,否则在对接OIDC时会出现如下问题

https://github.com/goharbor/harbor/issues/12982

6、keycloak安装

docker run -p 172.20.42.54:8443:8443 -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=admin quay.io/keycloak/keycloak:13.0.1

注:8443即使用https,8080使用http,公网ip或harbor对接时必须使用https:

Keycloak Docker HTTPS required - Stack Overflow

keycloak默认使用H2数据库,keycloak容器重启数据会丢失,以下使用外部postgres数据库做持久化

6.1 docker network create keycloak-network

6.2 docker run -d --name postgres --net keycloak-network -v /data/keycloak/postgres:/var/lib/postgresql/data -e POSTGRES_DB=keycloak -e POSTGRES_USER=keycloak -e POSTGRES_PASSWORD=password postgres

6.3 docker run -d -p 172.20.42.183:8443:8443 --name keycloak --net keycloak-network -e ADDR=postgres -e DB_USER=keycloak -e DB_PASSWORD=password -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=Kylincloud@123. -e DB_VENDOR=postgres quay.io/keycloak/keycloak:13.0.1

参考: https://github.com/keycloak/keycloak-containers/blob/13.0.1/server/README.md

7、登录keyclock页面

https://IP:8443

点击Administration Console登录管理员用户,密码admin/admin,docker run时可修改,也可进管理页面修改

8、创建realm域

域之间相互隔离,点击左上角`Select realm`然后点击add realm添加域

输入自定义名称,此处为harbor,点击create创建

9、创建Clients

填入Client ID,harbor连接时需要;

Root URL为harbor根路由,最好使用域名,不使用ip

10、配置Client

Harbor中Valid Redirect URLs必须为c/oidc/callback/,如果端口为443则不要在此添加端口号

Secret在harbor连接时会用到,如果界面没有此选项则不用改

添加mapper,类型为Group Membership,Token Claim Name名称在harbor连接时会用到,添加此mapper才能与harbor间保持组同步

11、创建组

12、创建用户

加入到group1,firstName和LastName必填

13、设置用户密码

14、harbor配置

进入harbor页面进行配置

系统管理->配置管理->认证管理

注意:非*可不填,除组名称

OIDC Endpoint:keyclock地址,harbor为在keyclock添加的域名称,harbor前面的保持固定

OIDC客户端标识:keyclock创建的Client ID名称

OIDC客户端密码:keyclock中的Secret,上文有截图

组名称:与keyclock mapper中Token Claim Name一致

OIDC scope: 必须包含openid

自动登录:勾选表示直接使用keyclock中的用户名

详见Harbor docs | Configure OIDC Provider Authentication

测试通过后保存,然后退出登录

15、通过OIDC登录

会跳转到如下界面:

输入用户名密码后会跳转到harbor

此时再使用admin用户登录harbor,能看到用户管理中多了一个test的用户,组管理中多了一个/group1的组,这是从keyclock同步而来

问题:

[ERROR] [/core/controllers/oidc.go:76]: State mismatch, in session: %!s(<nil>), in url: 2pG0sDHtGx32UgFPRlDCag8CVdR17Qkf

解决方法:

使用域名在浏览器登录,不使用ip,如果使用ip登录harbor的话跳转到/c/oidc/login时也会使用ip,但是/c/oidc/callback/强制使用域名

详见:

https://github.com/goharbor/harbor/issues/12982

@lz006 @Leo-ljr

What you browser are you using? Is it Chrome?

Could you use the developer tools to check the requests to /c/oidc/login and /c/oidc/callback, has the cookie sid changed?

Are you using the same hostname to access the login page and in redirect URL of the OIDC provider?

参考链接

Harbor docs | Configure OIDC Provider Authentication

Harbor docs | Configure HTTPS Access to Harbor

Harbor docs | Configure the Harbor YML File

Harbor docs | Configure Harbor User Settings at the Command Line

Keycloak - Guide - Keycloak on Docker

Keycloak Docker HTTPS required - Stack Overflow

https://github.com/goharbor/harbor/issues/12982

Keycloak快速上手指南,只需10分钟即可接入Spring Boot/Vue前后端分离应用实现S【附源码】_Java_老男孩_51CTO博客

whz-emm
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
jenkins+docker集成harbor实现可持续集成
congge
04-14 1万+
jenkins+docker集成harbor实现可持续集成
k8s学习配置harbor的nfs对接以及配置为helm仓库
JavaMonsterr的博客
07-30 364
harbor可以对接NFS作为远端存储,提高harbor仓库的存储空间。
Harbor安装配置
幽灵 逐梦--专栏
07-06 2182
本节介绍如何执行 Harbor 的全新安装。 如果您是从先前版本的 Harbor 升级,则可能需要更新配置文件并迁移数据以适应更高版本的数据库架构。有关升级的信息,请参阅升级 Harbor。 在安装 Harbor 之前,您可以在 Harbor 团队维护的演示环境中测试最新版本的 Harbor。有关信息,请参阅使用演示服务器测试 HarborHarbor 支持与用于复制数据的第三方复制适配器、用于 authN/authZ 的 OIDC 适配器和用于容器映像漏洞扫描的扫描器适配器的集成。有关支持的..
Harbor-核心管理API
Edidaughter的博客
03-18 3444
0.概述 核心管理API提供了Harbor核心管理功能的编程接口,这些功能主 要如下。 ◎ 用户管理(“/users”和“/usergroups”):覆盖用户和用户组相关 的管理功能,包括用户和用户组的创建、修改、查找、删除等。 ◎ 项目管理(“/projects”):覆盖项目相关的管理功能,包括项 目的创建、修改、查找、获取概要、删除和项目元信息的管理等。 ◎ 仓库管理(“/projects/{project_name}/repositories”):覆盖仓 库相关的管理功能,包括仓库的修改、查找和删
Harbor介绍
gaojingsong的专栏
07-12 2378
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor is an open source trusted cloud native registry project that stores, signs, and scans co
企业级Docker Registry——Harbor实践
NewTyun的博客
11-19 278
简介Harbor是由VMware公司中国团队为企业用户设计的Registry server开源项目,包括了权限管理(RBAC)、LDAP、审计、管理界面、自我注册、HA等...
harbor配置oss1
08-08
Harbor 配置 Oss1 Harbor 是一个企业级的 Registry 服务器,可以存储和管理 Docker 镜像。它提供了丰富的功能,如镜像管理、权限控制、LDAP 集成等。下面我们将详细介绍如何配置 Harbor,并将其与 Oss1 集成。 一...
Harbor企业级实践
小小小小杜
08-14 790
前言 腾讯企业云中心使用Harbor作为统一的镜像仓库管理组件,本文主要分享企业云中心在Harbor上的一些实践经验总结…… harbor介绍 Harbor是目前最流行的开源企业级镜像仓库解决方案。除了原生支持镜像仓库,chart仓库;还支持一些企业用户所迫切需要的一些功能,例如:图形用户界面、完善的认证和鉴权机制、镜像复制、镜像病毒扫描、镜像删除与垃圾回收机制以及RESTFUL API接口等。另外,它也易于部署,目前支持两种部署方式:Docker-Compose以及Helm Chart harbor A
KubeSphere集群安装-nfs分布式文件共享-对接Harbor-对接阿里云镜像仓库-遇到踩坑记录
最新发布
qq_41853447的博客
03-17 1219
KubeSphere集群安装-nfs分布式文件共享-对接Harbor-对接阿里云镜像仓库-遇到踩坑记录
jenkins连接harbor的认证,将镜像推送到harbor
06-29
jenkins连接harbor的认证,将镜像推送到harbor详细笔记文档
Harbor 修改认证方式
云原生,DevOps,Kubernetes
01-22 1744
https://www.vlabware.com/2020/12/changing-auth-mode-in-harbor-from.html Harbor 默认使用Database认证,账号密码保存在本地数据库中Postgresql。 Harbor提供了如下认证集成方式 但是,当我在一个已配置的环境中想将认证方式有Database修改为OIDC时发现下拉框是灰色的。类似如下: 文章顶部的url的文章中有提示 Clear out all users except admin/anonymous. .
Harbor 1.8开拓镜像管理崭新应用场景
亨利笔记
06-02 1581
题图摄于巴塞罗那港上周,在美丽的滨海城市巴塞罗那举行了KubeCon欧洲大会,Harbor 开源镜像仓库项目的核心维护人员悉数出席。在大会的主题演讲中,Harbor 发布...
[基础服务] [Docker] Harbor 安装和配置
OxYGC
05-16 2063
Harbor 安装和配置资源包 描述 下载 适用于Windows的Grafana 【📁】 grafana.windows-amd64 适用于Windows的Prometheus 【📁】 prometheus.windows-amd64 windows_exporter 【📁】 windows_exporter go.windows-amd64 【📁】 go.windows-amd64 方法 / 步骤 记录下本人在WindowsServer环境下安装MongoDB的步骤,以作备
Kubernetes实录-第一篇-集群部署配置(3) 配置企业级镜像仓库Harbor集成openLDAP
新梦易明
07-01 563
Kubernetes实录系列记录文档完整目录参考: Kubernetes实录-目录 相关记录链接地址 : 第1篇:CentOS7配置docker环境 第2篇:配置企业级镜像仓库Harbor 第3篇:配置企业级镜像仓库Harbor集成openLDAP Harbor支持的认证后端有4种类型,分别是database,LDAP/AD,UAA,OIDC,其中UAA目前来说还是不建议使用的状态。默认采用的是数据库(database)作为认证,这里测试使用LDAP作为认证后端。 备注: 默认使用数据库作为认证后端
Harbor配置ldap
weixin_30836759的博客
07-20 734
1、修改配置Harborp配置文件,共修改三处   1.1auth_mode = ldap_auth   1.2ldap_url = ldap://10.10.20.202   1.3ldap_basedn = uid=%s,dc=example,dc=com 2、执行./prepare 3、重启Harbor   docker-compose stop   docke...
通过 Keycloak + Pgsql 实现 Grafana 单点登录
Allen技术小站
07-02 2088
注意: 文中提到的一些ip,端口,邮箱,用户名等信息为个人配置,请按实际自行修改 在基于安装了mysql版本的基础上,我再转向做pgsql的,所以其实基本操作可以参考以下链接: 通过 Keycloak + Mysql 实现 Grafana 单点登录 所以本文只是在上文的基础上,对安装,配置pgsql,配置Keycloak,做一些增量说明 1. docker安装 pgsql 特别注...
Go 开源说第七期:Harbor助你玩转云原生
Go中国
03-28 819
本文由“GO开源说”第七期 《Harbor助你玩转云原生》直播内容修改整理而成,视频内容较长,本文内容有所删减和重构。云原生技术的兴起为企业数字化转型带来新的可能。作为云原生的要素之一,带...
Docker以https访问Harbor私有仓库(二)
weixin_33966095的博客
10-14 252
1 说明 前文Centos7搭建Harbor私有仓库(二)中,我们以https方式搭建了Harbor,本篇我们主要配置Docker以https方式访问Harbor私有仓库 2 Docker配置 2.1 Mac系统 2.1.1 配置Docker Mac系统中只需配置Proferences -> Proxies使用System Proxy即可,如下: 2.1.2 登录私服验证 docker...
基于OIDC(OpenID Connect)的SSO(纯JS客户端)
dotNET跨平台
12-02 7836
在上一篇基于OIDC的SSO的中涉及到了4个Web站点: oidc-server.dev:利用oidc实现的统一认证和授权中心,SSO站点。 oidc-client-hybrid.dev:oidc的一个客户端,采用hybrid模式。 oidc-client-implicit.dev:odic的另一个客户端,采用implicit模式。 oidc-client-js.dev
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值