14.7. コンテナー内での FIPS モードの Red Hat build of Keycloak サーバー
コンテナー内で Red Hat build of Keycloak を FIPS モードで実行する場合は、"ホスト" も FIPS モードを使用する必要があります。その後、コンテナーは親ホストから FIPS モードを "継承" します。詳細は、RHEL ドキュメントの このセクション を参照してください。
Red Hat build of Keycloak のコンテナーイメージは、FIPS モードのホストから実行されると自動的に FIPS モードになります。ただし、Red Hat build of Keycloak コンテナーも起動時に (BC jar ではなく) BCFIPS jar と適切なオプションを使用していることを確認してください。
これに関しては、コンテナー内で Red Hat build of Keycloak を実行する で説明されているように独自のコンテナーイメージをビルドし、BCFIPS などを使用するように調整することが最適です。
たとえば、現在のディレクトリーにサブディレクトリー files を作成し、以下を追加できます。
- 前述の BC FIPS jar ファイル
-
カスタムキーストアファイル (名前の例:
keycloak-fips.keystore.bcfks) -
SAML のプロバイダーが追加された
kc.java.securityという名前のセキュリティーファイル
次に、現在のディレクトリーに次のような Dockerfile を作成します。
Dockerfile:
FROM registry.redhat.io/rhbk/keycloak-rhel9:24 as builder ADD files /tmp/files/ WORKDIR /opt/keycloak RUN cp /tmp/files/*.jar /opt/keycloak/providers/ RUN cp /tmp/files/keycloak-fips.keystore.* /opt/keycloak/conf/server.keystore RUN cp /tmp/files/kc.java.security /opt/keycloak/conf/ RUN /opt/keycloak/bin/kc.sh build --features=fips --fips-mode=strict FROM registry.redhat.io/rhbk/keycloak-rhel9:24 COPY --from=builder /opt/keycloak/ /opt/keycloak/ ENTRYPOINT ["/opt/keycloak/bin/kc.sh"]
次に、Red Hat build of Keycloak をコンテナー内で実行する の説明に従って、FIPS を最適化された Docker イメージとしてビルドし、起動します。これらの手順では、イメージを起動する際に上記のように因数を使用する必要があります。
