如何解决Keycloak最小特权以绑定到LDAP
我们的目标是从Keycloak管理FreeIPA用户密码,当我们使用FreeIPA的admin用户从Keycloak进行绑定时,此方法有效。在Keycloak>用户联合> LDAP>绑定DN中:uid = admin,cn = users,cn = accounts,dc = example,dc = com
使用仅具有管理密码权限的非特权用户时,我们可以同步用户,但从密钥斗篷列出用户会返回错误:“发生了意外的服务器错误”
如果我们将非特权用户添加到LDAP中的admin组中,它也可以工作
这些是我们用来添加密码管理权限的命令:
ipa role-add "Self Password Reset"
ipa role-add-member "Self Password Reset" --users="ldap-passwd-reset"
ipa role-add-privilege "Self Password Reset" --privileges="Modify Users and Reset passwords"
ipa role-add-privilege "Self Password Reset" --privileges="Password Policy Readers"
ipa role-add-privilege "Self Password Reset" --privileges="Kerberos Ticket Policy Readers"
ipa permission-mod "System: Change User password" --includedattrs="krbloginfailedcount"
我的问题是,用户在不成为管理员组成员的情况下,能够从Keycloak管理LDAP密码的最低特权是什么?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。