CentOS7へKeycloakをsystemdで起動、停止できるようにインストールする

release: 2017-12-11 update: 2020-09-21

だいぶ前に、CentOS 7にKeycloakをインストールして触ってみるということをしていたが、今回はちゃんとsystemdで管理できるようにインストールをしてみる。基本的なインストール方法は変わらないが、一応事前準備から進めていく。

1.事前準備

前回と変わらず、以下のコマンドを実行して実行ユーザの作成や必要となるパッケージを導入しておく。

useradd keycloak
yum install -y git wget

動作にMavenが必要になるので、それらをインストールする。まずはOracle JDKのインストールを行う。

wget --no-check-certificate --no-cookies --header "Cookie: oraclelicense=accept-securebackup-cookie" http://download.oracle.com/otn-pub/java/jdk/8u152-b16/aa0333dd3019491ca4f6ddbe78cdb6d0/jdk-8u152-linux-x64.rpm
rpm -ihv jdk-8u152-linux-x64.rpm

次に、Mavenのインストール。作業中に実行ユーザに切り替えて、PATHを通しておく。

cd /opt
wget http://ftp.riken.jp/net/apache/maven/maven-3/3.5.0/binaries/apache-maven-3.5.0-bin.tar.gz
tar xzvf apache-maven-3.5.0-bin.tar.gz
mv apache-maven{-3.5.0,}
su - keycloak
cat << "EOF" >> ~/.bash_profile
export JAVA_HOME=/usr/java/default/
export PATH=$PATH:/opt/apache-maven/bin
EOF
. ~/.bash_profile

これで事前準備は完了。

2. Keycloakをインストール、起動する(http)

事前準備が終わったら、Keycloakをインストールする。まずはhttpで接続できることを確認する。

wget https://downloads.jboss.org/keycloak/3.4.0.Final/keycloak-3.4.0.Final.tar.gz
tar xzvf keycloak-*.tar.gz
mv keycloak-*/ keycloak
cd keycloak
sed -i.bk '{s/127.0.0.1/'$(hostname -i)'/g}' standalone/configuration/standalone.xml

ひとまず、この段階で一時的にfirewalldを切ってKeycloakを起動させてみる。

exit
sudo systemctl stop firewalld
su - keycloak
cd /opt/keycloak
bin/add-user-keycloak.sh -u admin -p P@ssw0rd
bin/standalone.sh -b 0.0.0.0

Keycloakサーバにアクセスし、ログイン画面が表示されること、追加したユーザでログインできることが確認できたらOK。 firewallについては後ほどポートを指定するので、今はこのままにする。

3.serviceファイルを作成してsystemdで起動、停止を行えるようにする

rootに切り替えて、先程展開したファイル類を/opt配下に移動する。また、Keycloak用のログ出力先ディレクトリを作成しておく。

mv /home/keycloak/keycloak /opt/
mkdir /var/log/keycloak

移動後、systemdで管理できるように.serviceファイルを作成する。

/etc/systemd/system/keycloak.service

[Unit]
Description=Jboss Application Server
After=network.target

[Service]
Type=idle
Environment=JBOSS_HOME=/opt/keycloak JBOSS_LOG_DIR=/var/log/keycloak "JAVA_OPTS=-Xms1024m -Xmx20480m -XX:MaxPermSize=768m"
User=keycloak
Group=keycloak
ExecStart=/opt/keycloak/bin/standalone.sh
TimeoutStartSec=600
TimeoutStopSec=600

[Install]
WantedBy=multi-user.target

.serviceファイル作成後、以下のようにsystemdからKeycloakを起動する。 (起動に失敗した場合は、一度SELinuxを無効にして再度試してみる(起動後にちゃんと有効にしなおすのを忘れずに))

systemctl start keycloak

起動後、ブラウザから管理画面にアクセスできることを確認する。

4.Nginxをリバースプロキシにしてhttps接続を行えるようにする

Keycloakへの通信を暗号化するため、Nginxをリバースプロキシにしてhttps接続できるようにする。なお、すでにローカルの認証局で中間CA証明書やサーバ証明書は出ている前提で設定を進めていく。以下のコマンドを実行し、Nginxのインストールを行う。

cat <<EOF > /etc/yum.repos.d/nginx.repo
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/mainline/centos/7/\$basearch/
gpgcheck=0
enabled=1
EOF
yum install -y nginx

リバースプロキシとして動作させるため、Nginxの設定ファイルを作成する。

/etc/nginx/conf.d/keycloak.conf

server {
    listen 80;
    server_name {{VirtualHostname}};
    rewrite ^(.*)$ https://$host$1 permanent;
}

server {
    listen 443;
    server_name {{VirtualHostname}};
    ssl on;
    ssl_certificate /etc/nginx/cert/ssl.crt;
    ssl_certificate_key /etc/nginx/cert/ssl.key;
    proxy_set_header Host $http_host;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_redirect http:// https://;
    }
}

証明書の保持先ディレクトリを作成して、SELinuxの設定を変更してNginxが読み込めるようにする。

chcon system_u:object_r:httpd_config_t:s0 /etc/nginx/cert/*

Keycloakの設定を変更し、127.0.0.1でのみ受け付けるよう変更する。

sed -i 's/'$(hostname -i)'/127.0.0.1/g' /opt/keycloak/standalone/configuration/standalone.xml

今のままだとリバースプロキシ経由のため、そのままだとKeycloakへのログインができない。こちらを参考に、Keycloak側でProxy元の設定を追加する。

<subsystem xmlns="urn:jboss:domain:undertow:4.0">
    ....
    <!--既存の内容を置き換え(465行目あたり)-->
    <http-listener name="default" socket-binding="http" proxy-address-forwarding="true" redirect-socket="proxy-https"/>
    ....
</subsystem>
....

<socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
    ....
    <!--追記(561行目あたり)-->
    <socket-binding name="proxy-https" port="443"/>
</socket-binding-group>

最後に、SELinuxの設定をしてNginx、Kyecloakのサービスを再起動する。

setsebool -P httpd_can_network_connect 1
systemctl restart nginx
systemctl restart keycloak

これで、Systemdで管理できる状態になった。本当は冗長化とか考慮した方が良いのだろうけど、ひとまずシングル構成での構築手順として残しておく。

俺的備忘録〜なんかいろいろ〜

Blog

Documents

Tools

CentOS7へKeycloakをsystemdで起動、停止できるようにインストールする

1.事前準備

2. Keycloakをインストール、起動する(http)

3.serviceファイルを作成してsystemdで起動、停止を行えるようにする

4.Nginxをリバースプロキシにしてhttps接続を行えるようにする

俺的備忘録

〜なんかいろいろ〜

最近の投稿

gitで直近のmergeで発生した差分だけをgit diffで取得する

git diffの結果をフルパスで表示させる

Python 3.9でasync使用時に『can't register atexit after shutdown』というエラーが出るようになった

xargsで各引数ごとの出力の先頭を色分けして表示する

コンソール上でひらがな、カタカナの文字を一括指定して置換する

Twitter

Sponsored Link

1.事前準備

2. Keycloakをインストール、起動する(http)

3.serviceファイルを作成してsystemdで起動、停止を行えるようにする

4.Nginxをリバースプロキシにしてhttps接続を行えるようにする

Other Page

Sponsored Link

最近の投稿

Twitter

Sponsored Link