Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Как пропустить проверку TLS при использовании OIDC с Authentik

На чтение 4 мин Опубликовано

Вопрос или проблема

extraEnvVars:
  - name: MINIO_LOG_LEVEL
    value: DEBUG
  - name: MINIO_IDENTITY_OPENID_CONFIG_URL
    value: "https://authentik.righive.local/application/o/minio/.well-known/openid-configuration"
  - name: MINIO_IDENTITY_OPENID_CLIENT_ID
    value: "yyyy"
  - name: MINIO_IDENTITY_OPENID_CLIENT_SECRET
    value: "xxx"
  - name: MINIO_IDENTITY_OPENID_REDIRECT_URI
    value: "https://minio-ui.righive.local/oauth_callback"
  - name: MINIO_IDENTITY_OPENID_SCOPES
    value: "openid,profile,email,minio"
  - name: MINIO_BROWSER_REDIRECT_URL
    value: "https://minio-ui.righive.local"
  - name: MINIO_SERVER_URL
    value: "https://minio.righive.local"
  - name: MC_INSECURE
    value: "1"
  - name: MINIO_IDENTITY_TLS_SKIP_VERIFY
    value: "on"
  - name: MINIO_IDENTITY_OPENID_DISPLAY_NAME
    value: "Authentik"
  - name: MINIO_TLS_SKIP_VERIFY
    value: "on"

Это моя конфигурация для OpenId. Я отключил проверку TLS для MINIO, но он все равно, кажется, проверяет и выдает ошибку “Unable to Initialize OpenID: tls failed to verify certificate”

Логи MINIO

Ответ или решение

Вопрос о пропуске проверки TLS при использовании OIDC с Authentik требует тщательного рассмотрения конфигурации и возможных проблем в настройках. Во-первых, важно понять, как работает процесс OpenID Connect (OIDC) и какие роли в нем играют компоненты, такие как MinIO и Authentik.

Теория:
OpenID Connect – это простой слой аутентификации, построенный на базе протокола OAuth 2.0, который позволяет применять авторизацию на основе токенов. Authentik в этой конфигурации выступает в роли провайдера идентификации, в то время как MinIO использует эти данные для обеспечения безопасного доступа посредством жестких требований к TLS (Transport Layer Security). TLS обеспечивает аутентификацию, конфиденциальность и целостность данных между взаимодействующими приложениями.

Хотя отключение проверки сертификата TLS возможно, это порождает риски безопасности, так как сессии могут стать уязвимыми для атак "человек посередине" (MITM), где злоумышленник может перехватить или изменить передаваемые данные без ведома пользователя. Однако, если необходимость в этом вызвана тестированием или специфическими требованиями, может быть целесообразно временно отключить TLS-проверку.

Пример:
Ваш текущий YAML файл для MinIO содержит ключевые переменные окружения для настройки OIDC. Особое внимание следует обратить на следующие строки:

  - name: MINIO_TLS_SKIP_VERIFY
    value: "on"
  - name: MINIO_IDENTITY_TLS_SKIP_VERIFY
    value: "on"

Эти параметры должны управлять проверкой сертификатов TLS. Рассмотрим дополнительные настройки и распространенные проблемы.

Применение:
Для начала, убедитесь, что все переменные окружения MinIO правильно распознаны и применены. Проверьте, что MinIO действительно использует данный конфигурационный файл и что изменение этих параметров выполняется правильно.

  1. Диагностика конфигурации:

    • Убедитесь, что MinIO использует ваш конфигурационный файл. Иногда была замечена проблема, что изменения в конфигурации не вступают в силу без повторного подгруза или рестарта службы MinIO.
    • Откройте MinIO GUI или CLI и убедитесь, что все параметры окружения применяются. Используйте команду mc admin config get <alias> для проверки примененной конфигурации.

  2. Проверка версии MinIO:

    • Некоторые версии MinIO могут иметь различные механизмы обработки TLS-настроек. Обновите MinIO до последней версии, если это возможно, чтобы убедиться, что применяются все последние исправления и улучшения.

  3. Дополнительные параметры конфигурации:

    • Проверьте, не является ли проблема более глобальной, связанной с настройками сети или DNS. Убедитесь, что серверы правильно резолвятся по DNS и доступны для доступа через назначенные IP или наименования.

  4. Журналы и логирование:

    • Обратите внимание на журналы ошибок MinIO и сервера в целом. Найдите строки, соответствующие времени попытки авторизации, и проверьте, нет ли других сообщений, указывающих на проблемы конфигурации.

  5. Целостные исправления и тестирование:

    • Если проблема сохраняется, возможно, потребуется внести дополнительные изменения в код (например, с помощью флага -insecure в некоторых командах) или окружение MinIO. Используйте sandbox или тестовую среду для изменения конфигурации и повторного тестирования, чтобы минимизировать риски для основной системы.

  6. Безопасностные меры:

    • Всегда старайтесь сохранять баланс между удобством разработки и должным уровнем безопасности. После завершения тестирования или разработки верните проверку TLS на место, чтобы минимизировать риски для конечных пользователей.

Эти шаги помогут в диагностике и устранении проблемы с проверкой сертификатов TLS при использовании OIDC с Authentik. Важно, чтобы каждая часть системы была тщательно проверена на корректность конфигурации и учтены все возможные аспекты, влияющие на взаимодействие компонентов системы. Это требование особенно актуально в системах, где безопасность и аутентификация имеют приоритетное значение.

authentication kubernetes minio oidc
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности