Azure AD Federation with Keycloak as SAML identity provider using external B2B guest users - Using a different email domain in Azure AD and Keycloak
Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud.
Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting for you.
Out in the interwebs there are 100s of guides to use Microsoft Azure Directory (Azure AD) as an identify provider (IdP) in Keycloak. But we want it to be the other way around! Keycloak shall be a SAML federated IdP for Azure AD.
Weiter lesen ...Azure AD Federation with Keycloak as SAML identity provider using external B2B guest users - Automating User and Group Sync from Keycloak to Azure AD
Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud. Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting for you.
Out in the interwebs there are 100s of guides to use Microsoft Azure Directory (Azure AD) as an identify provider (IdP) in Keycloak. But we want it to be the other way around! Keycloak shall be a SAML federated IdP for Azure AD.
Weiter lesen ...Azure AD Federation with keycloak as SAML identity provider using external B2B guest users - Getting Started
Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud. Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting to you.
Weiter lesen ...Buchtipp: Terraform - Das Praxisbuch für DevOps-Teams & Administratoren
Kollegen der B1 Systems GmbH und OSISM GmbH haben im vergangenen Jahr gemeinsam an einem Buch über Terraform geschrieben. Nein, wir haben nicht die Branche gewechselt und besiedeln nicht den Mars, sondern errichten und automatisieren mit Terraform komplexe Public Cloud Infrastruktur - bei z.B. Microsoft Azure, Amazon AWS und Google Cloud Platform - oder auch Private Cloud Infstrastruktur in OpenStack und VMware Vsphere. Beziehungsweise erklären wir euch und Ihnen, wie das geht.
Weiter lesen ...Installation und Konfiguration von USBGuard
Im März 2015 veröffentlichte RedHat eine erste Version des USBGuards. Mit dem Tool könnt ihr euren Rechner vor BadUSB-Angriffen schützen – also vor USB-Geräten, deren Firmware verändert wurde, um einen Schadcode zu injizieren [1]. USBGuard benutzt dafür das im Linux-Kernel integrierte USB-Authorization-Feature. Durch White- & Blacklisting kann angewiesen werden, welche USB-Geräte zugelassen oder gesperrt werden.
Wie ihr USBGuard installiert und konfiguriert, wird in diesem Beitrag erklärt.
Weiter lesen ...Verschlüsseltes DNS selber machen - Teil 2
In meinem Artikel im Februar habe ich ein Setup vorgestellt, in welchem der DNS-Loadbalancer dnsdist und der Resolver unbound verwendet wurden, um einen DoH- und DoT-Server zu betreiben. Die Kombination der beiden Programme ist notwendig, da der in Debian 11 Bullseye enthaltenen Version von unbound Funktionen fehlen und dnsdist selbst kein Resolver ist. Mit dem Knot-Resolver gibt es im Repository von Debian ein Programm, welches beide Rollen übernehmen kann. Dieser Artikel zeigt, wie der Knot-Resolver als DoH- und DoT-Server eingerichtet wird.
Weiter lesen ...Konfiguration von Traefik mit CRDs
Wie bereits in Teil 1 der Artikelreihe zu Traefik angedeutet, kann man Traefik nicht nur über Annotationen und über Parameter von Deployment bzw. Chart konfigurieren, sondern auch mit Custom Resource Definitions (CRDs). Hierbei wird die sogenannte dynamische Konfiguration von Traefik dann nicht mehr über Annotationen an den zu verwaltenden Objekten wie einem Ingress gemacht, sondern statisch als eigenständiges Objekt, welches unabhängig konfiguriert wird.
Ob man das als Vorteil oder Nachteil sieht, hängt stark von der eigenen Benutzung und auch der Designphilosophie des (hoffentlich vorhandenem) Code Repository ab. CRDs zu benutzen ist bestimmt nicht gerade zielführend mit einer kleinen k3s-Instanz, die eine handvoll Dienste nach außen verfügbar macht. Mit steigender Komplexität ist es aber weder trivial noch ratsam, die Logik komplett in der Hand von Annotationen zu lassen.
Weiter lesen ...[matrix] – Ein offener Standard für Echtzeitkommunikation
Bildungs- und Forschungseinrichtungen [1], das deutsche Gesundheitswesen [2] und die Bundeswehr [3] setzen mittlerweile auf Matrix und unter OSS-Enthusiast:innen ist das »neue XMPP« längst kein Geheimtipp mehr. Im Folgenden soll der offene Standard für interoperable, dezentralisierte Echtzeitkommunikation vorgestellt und dessen Merkmale, Funktionsweise sowie Möglichkeiten beleuchtet werden.
Weiter lesen ...BigBlueButton 2.4 -- Let me upgrade you yet again
Wieder ist fast ein Jahr ins Land gezogen, seit wir die letzten Nachrichten über die Entwicklungen der Videokonferenzsoftware BigBlueButton verkünden konnten. [1] Und wieder war ein beträchtlicher Teil dieses Jahres durch Videokonferenzen aller Art begleitet. Und wieder ist mit BigBlueButton 2.4 eine neue Major Version von der auch bei unserem b1@home verwendeten Open-Source-Software erschienen. Mit vielen neuen Features und Möglichkeiten.
Weiter lesen ...How to run your own DNS resolver (using DNS-over-HTTPS) in Kubernetes using cloudflared
We recently had a blog post on how to secure your DNS traffic using DNS-over-TLS or DNS-over-HTTPS (German only). The article gave an introduction on how to run dnsdist as a local resolver on Debian11. In this case, dnsdist would accept queries using DNS-over-TLS (DoT) or DNS-over-HTTPS (DoH).
This surely is the right solution for those scenarios, where your clients are capable of speaking DoT or DoH natively. But what if they don’t? In this case you can create your own resolver that listens on the “usual” aka unencrypted DNS ports. The DNS traffic on your local network is then unencrypted, which might or might not be acceptable depending on your threat analysis. Once the requests have reached your local resolver, it will forward them using DoH to a server of your choice. Which one to pick is up to you, a list of available servers can be found at DNSprivacy.org.
In this article, we will run our own resolver in Kubernetes using a helm chart for cloudflared. Despite the name, it can be used with many different endpoints, not just the ones from Cloudflare.
