• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

Jaranguda

Belajar Mengajar

  • Home
  • Sponsor/Jasa
  • Tentang

Cara Mengelola User dan Role Jenkins dengan Keycloak

Last Updated on 14 August 2022 By tommy Leave a Comment

Pada tutorial kali ini kita akan menggunakan Keycloak sebagai sumber user dan role yang akan mengakses Jenkins. Saat ini versi yang digunakan

Keycloak 19.0.1
Jenkins 2.346.3
# Plugin jenkins
oic-auth 1.8
role-strategy 555.v8d194cc85b_30

Dengan menggunakan Keycloak sebagai authentikasi untuk Jenkins, kita memiliki banyak kelebihan, seperti user bisa diambil dari LDAP atau kerberos. User dari Twitter, Github, Gitlab, Google Workspace, Facebook dan lain sebagainya bisa login kedalam Jenkins. Satu skenario yang bisa digunakan bisa perusahaan anda menggunakan Google Workspace adalah, menghubungkan Google Workspace dengan Jenkins, jadi setiap user yang memiliki [email protected] bisa langsung login sebagai user Jenkins.

Hampir setiap langkah yang perlu penjelasan detail disertakan screenshot/tangkapan layar untuk memudahkan pemula sekalipun untuk menjalankan tutorial ini. Cara install Keycloak dan Jenkins tidak dibahas disini, karena tidak relevan. Untuk tutorial ini saya menggunakan keycloak di Kubernetes dan Keycloak di VPS :D

Konfigurasi Keycloak 19

Login ke keycloak sebagai admin

1. Buat Realm Baru

1. Buat realm baru, dengan nama platform
create platform realms

2. Buat Client

Buat client dengan jenkins di realms platform, client ini yang akan diakses oleh aplikasi Jenkins. Nama client ini akan digunakan di config Jenkins nantinya, jadi ada baiknya menggunakan nama yang mudah dipahami, agar memudahkan troubleshooting nantinya.

Bagian yang wajib diisi

Client type : OpenID Connect
Client ID : jenkins

jenkins create jenkins client

Pada capability config, yang wajib diisi

Client authentication : ON
Authorization : ON
Authentication flow : 
 - Standard flow
 - Direct access grants

create client keycloak capability config
klik Save

Pada halaman client details, pada tab Settings isikan Valid redirect URIs dengan domain anda, contoh https://jenkins.jaranguda.com/*, atau bisa dengan *, tetapi untuk production sangat tidak disarankan

klik tab Credentials, lalu copy dan simpan Client secret. Client secret ini akan digunakan pada waktu konfigurasi jenkins nantinya.

3. Client Scope

Client scope yang akan kita buat disini berisi, role yang dimiliki oleh user keycloak, yang nantinya digunakan di Jenkins.
buat client scope jenkins

Name : jenkins-roles
Display on consent screen : On
Include in token scope : On

Klik tab Mappers, klik lagi Configure a new mapper
buat new mappers

Klik Group Membership
jenkins group membership
yang perlu diisi

Mapper type : Group Membership
Name : jenkins-roles
Token Claim Name : jenkins-roles
Full group path : On
Add to ID token : On
Add to access token : On
Add to user info : On

kembali ke menu Clients -> jenkins -> Client scopes
add client scopes
kita akan menambahkan scope jenkins-roles, sehingga setiap user melakukan authentikasi, akan dikirimkan informasi jenkins-roles, yang digunakan oleh jenkins untuk mengetahui level akses user tersebut.

klik Add client scope, pilih jenkins-roles
add client scopes for jenkins
pada tombol Add, pilih Default

4. Buat Group User

Tergantung kebutuhan anda, disini untuk contoh kita akan membuat dua level user, 1 admin satu lagi user biasa. Hak akses yang diberikan ke masing-masing level user ini nanti kita setting dari sisi Jenkins
buat group untuk jenkins
Buat dua group

jenkins-admin
jenkins-user

5. Buat user di Keycloak

Sekarang kita butuh dua user yang akan digunakan sebagai admin dan satu lagi user biasa. Klik menu Users
jenkins admin user
Untuk user admin

Username : admin
Email : user@domain
Email verified : On
First name : Developer
Last name : User
Enabled : On
Groups : jenkins-admin

klik Create
lalu buat password untuk user admin. Klik tab Credentials -> Set password
set permanent password

Password : SUPERAMAN
Password confirmation : SUPERAMAN
Temporary : Off

Lakukan hal yang sama untuk user biasa, tetapi dengan perbedaan di username dan Groups

Username : developer
Email : user@domain
Email verified : On
First name : Jenkins
Last name : Users
Enabled : On
Groups : jenkins-user

Bila anda cek menu Users, bisa dilihat kedua user yang telah dibuat
User list keycloak

Konfigurasi Jenkins

Login sebagai admin di jenkins, agar bisa menginstall plugin.

Klik Manage Jenkins -> Manage Plugins
install jenkins plugin

plugin yang perlu di install adalah
– role-strategy
– oic-auth

oic-auth : agar bisa terkoneksi dengan keycloak
role-strategy : untuk membagi role yang dimiliki oleh user dari keycloak

setelah menginstall kedua plugin tersebut, kembali ke menu Manage Jenkins -> Configure Global Security, url manage ini biasanya http://[DOMAIN Jenkins]/manage
jenkins aktifkan openid

1. Konfigurasi OpenID
Di tahap ini kita akan mengaktifkan OpenID Auth dari sisi jenkins. Beberapa field yang harus diinput

Security Realm : Login with OpenID Connect
Client id : jenkins, dari nama client yang dibuat di keycloak
Client Secret : ambil dari client secret di client keycloak
Automatic configuration -> Well-known configuration endpoint : http://[KEYCLOAk]/realms/[NAMA REALMS]/.well-known/openid-configuration
User name field name : preferred_username
Email field name : email
Groups field name : jenkins-roles, diambil dari client -> client scope Keycloak
Authorization : Role-Based Strategy

Jenkins login with openid
Untuk link Well-known configuration endpoint, bisa diambil dari Realms Settings -> Endpoint, copy link OpenID Endpoint Configuration
openid wellknown endpoint
klik Save

2. Konfigurasi Role
Untuk mengkonfigurasi Role, klik Manage Jenkins -> Manage and Assign Roles -> Manage Roles
mange roles and assign roles jenkins

Pada Role to add, tambahkan satu-satu jenkins-admin dan jenkins-user, lalu klik Add.

Pada pilihan role, sesuaikan akses dari masing-masing user, contohnya bisa dilihat pada gambar
jenkins manage user roles

# untuk admin
Role : jenkins-admin
Overall : Administer, Read
# untuk user
Role : jenkins-user
Overall : Read
Job : Build, Cancel, Read
Run : Replay
View : Read
Metrics : View

Kebutuhan untuk role bisa disesuaikan disini. Akhiri dengan klik Save

2. Assign Group ke Role
Klik menu Manage Jenkins -> Manage and Assign Roles -> Assign Roles
Setelah role tersebut dibuat, sekarang kita mapping dengan user group yang tadi dibuat, sengaja saya buat penamaan yang mirip antara role dan user groupnya, akan lebih memudahkan mappingnya. Untuk nama groupnya ditambahkan tanda / didepan, karena begitu format yang dikirimkan oleh Keycloak untuk nama groupnya, contoh /jenkins-admin dan /jenkins-user
assign roles to groups

Sekarang semua user jenkins akan dikelola oleh Keycloak, untuk melakukan percobaan, buka link Jenkins dengan browser yang berbeda. Anda otomatis diarahkan ke halaman login Keycloak, disini coba login sebagai admin
login jenkins di arahkan ke keycloak
jenkins keycloak login sebagai admin

Login sebagai user
Buka browser yang berbeda atau menggunakan incognito
login as normal user jenkins

Bila dibandingkan keduanya, user admin memiliki menu

New item
People
Build History
Manage Jenkins
My Views
New View

sedangkan user biasa memiliki menu

People
Build History
My Views

Testing Jenkins

Sebagai percobaan kita akan membuat 1 job. Dari user admin klik New Item

Item name : test-jobs, klik Freestyle project, akhiri dengan klik Ok
buat test jobs
pada menu selanjutnya isikan description, lalu klik Save
isikan description jobs

Buka browser yang login dengan user biasa, refresh browser anda, muncul job yang baru dibuat
job muncul di akun user biasa
Anda bisa juga menjalankan job tersebut

job berhasil dijalankan

DEBUG / Troubleshooting

Untuk melihat role yang dikirim oleh Keycloak

curl -s -X POST 'http://[DOMAIN KEYCLOAK]/realms/[NAMA REALMS]/protocol/openid-connect/token' \
    -H 'Content-Type: application/x-www-form-urlencoded' \
    --data-urlencode 'client_id=jenkins' \
    --data-urlencode 'grant_type=password' \
     --data-urlencode 'client_secret=HDh5G1k5VL5q7c9fBXqx6Sa7HCRKz7gK' \
     --data-urlencode 'scope=openid' \
     --data-urlencode 'username=developer' \
     --data-urlencode 'password=iamteapot'

Sesuaikan URL, client_id, client_secret, username dan password. Untuk membaca token JWT tersebut, bisa lewat situs https://jwt.io/, atau lewat command line

curl -L -X POST 'http://192.168.49.2:31806/realms/platform2/protocol/openid-connect/token' \
    -H 'Content-Type: application/x-www-form-urlencoded' \
    --data-urlencode 'client_id=jenkins' \
    --data-urlencode 'grant_type=password' \
     --data-urlencode 'client_secret=HDh5G1k5VL5q7c9fBXqx6Sa7HCRKz7gK' \
     --data-urlencode 'scope=openid' \
     --data-urlencode 'username=developer' \
     --data-urlencode 'password=iamteapot' | jq -r .access_token | jwt  decode -

command line ini membutuhkan jq dan jwt
jenkins roles dari keycloak
Untuk mengetahui role yang didapat oleh user akses http://JENKINS-DOMAIN/whoAmI/
jenkins whoami

Filed Under: dll

Login ke Trino dengan Keycloak OpenID

Last Updated on 12 August 2022 By tommy Leave a Comment

Karena trino tidak memiliki fitur authentikasi bawaan, maka kita akan menggunakan pihak ketiga (third party), yang akan digunakan disini keycloak. Keycloak sendiri bisa menggunakan SAML ataupun OpenID, karena trino support OpenID, maka kita akan menggunakan OpenID untuk koneksi antara kedua service ini.

Setting Keycloak 19

Login ke keycloak ke master console sebagai admin

1. Buat Realm Trino
buat realm keycloak

2. Buat client
Klik menu Client -> Create Client
create client di keycloak realms
Yang perlu di isi

Client Type : OpenID Connect
Client ID : trino
Name : Aplikasi Trino

pada capability config, pastikan sesuai dengan

Client authentication : ON
Authorization : ON
Authentication flow : 
 - Standard flow
 - Direct access grants

klik Save

Selanjutnya, pada “Valid redirect URIs” isi dengan https://localhost:8443/*. Akhiri dengan klik Save
tambahkan valid redirect
Bila anda mencoba berbagai services, bisa juga menggunakan *, sebagai nilai “Valid redirect URIs”, dengan begitu URL apa pun akan diterima oleh Keycloak, tapi ingat jangan digunakan di server production.

Klik menu Realm Settings, pada baris Endpoints klik OpenID Endpoint Configuration
Openid endpoint setting dibawah realms setting

Format URL-nya : https://[DOMAIN KEYCLOAK]/realms/[REALMS]/.well-known/openid-configuration
openid config
Copy URL Issuer, contoh https://keycloak.jaranguda.com/realms/app-trino

Klik menu Client, klik trino. Pada tab credential, copy Client secret
keycloak client dan id secret di keycloak

Ketiga informasi ini (issuer, client name dan client secret) akan kita gunakan sewaktu menjalankan aplikasi Trino

Issuer : https://keycloak.jaranguda.com/realms/app-trino
Client : trino
Client secret : JxG5wAdYCv4EvMdXrMyKKYy0GLa5UlTv

Tambah User Keycloak

Saat ini kita belum memiliki user, untuk itu kita akan membuat 1 user untuk login. Selain cara ini kita bisa juga menggunakan user dari LDAP, Google, Twitter dan lain sebagainya, tetapi untuk mempersingkat tutorial ini usernya kita buat manual.

klik menu Users -> Create new user
create user in keycloak
akhiri dengan klik Create

Field yang perlu diisi

Username : jaranguda
Email : blablabla@domain
Email verified : ON
First name : Jaranguda
Last name : Com
Enabled : ON

Klik Credential
set password permanent keycloak
ingat untuk mencentang Temporary Off agar passwordnya permanen.

Install Trino

Untuk memudahkan tutorial ini, kita akan menjalankan trino dengan docker. Agar bisa menggunakan fitur OAUTH, kita harus menggunakan mode SSL/HTTPS/TLS.

Buat folder untuk menyimpan config trino

mkdir /home/jaranguda/trino

1. Generate SSL

openssl req -newkey rsa:2048 -nodes -keyout trino.key -x509 -days 3650 -out trino.crt

Satukan private key dan certificate diatas menjadi satu

cat trino.crt trino.key > /home/jaranguda/trino/trino.cert

2. Config Trino
Buat file /home/jaranguda/trino/config.properties yang berisi

#single node install config
coordinator=true
node-scheduler.include-coordinator=true
http-server.http.port=8080
discovery.uri=http://localhost:8080
 
http-server.https.enabled=true
http-server.https.port=8443
http-server.https.keystore.path=/tmp/trino.pem
 
internal-communication.shared-secret=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
 
http-server.authentication.type=oauth2
web-ui.authentication.type=oauth2
http-server.authentication.oauth2.issuer=https://keycloak.jaranguda.com/realms/app-trino
http-server.authentication.oauth2.client-id=trino
http-server.authentication.oauth2.client-secret=JxG5wAdYCv4EvMdXrMyKKYy0GLa5UlTv

internal-communication.shared-secret, bisa digenerate dengan openssl rand 512 | base64 -w0
ganti issuer, client-id dan client-secret, sisanya biarkan default. Lalu jalankan trino dengan docker

docker run -p 8443:8443 -v /home/jaranguda/trino/config.properties:/etc/trino/config.properties -v /home/jaranguda/trino.cert:/tmp/trino.pem trinodb/trino

trino berjalan dengan normal

Setelah docker berjalan, buka di browser https:localhost:8443, jangan kaget waktu mendapati error, karena ini untuk tahap development jadi sah-sah saja menggunakan self-signed certificate, untuk production bisa menggunakan SSL gratis seperti Let’s Encrypt, agar tidak muncul peringatan “Warning: Potential Security Risk Ahead” seperti gambar dibawah
unknown root ca self signed
klik Advanced, lalu Accept the Risk and Continue

Anda akan otomatis diarahkan ke halaman sign-in Keycloak
Otomatis diredirect ke keycloak

isi username dan password yang tadi dibuat
input username password keycloak

Tampilan UI trino setelah login
login ke trino dengan keycloak

Filed Under: Linux

Cara Memindahkan Lokasi Data Directory Docker di Linux

Last Updated on 12 August 2022 By tommy Leave a Comment

Bila partisi utama anda kepenuhan, dan docker banyak komplain karena kekurangan space, selain menggunakan hardisk yang lebih besar bisa juga diakali dengan memindahkan data ke partisi yang berbeda, contoh kondisi hardisk saya saat ini

$ sudo df -h
# output
Filesystem      Size  Used Avail Use% Mounted on
udev            6.8G     0  6.8G   0% /dev
tmpfs           1.4G  2.8M  1.4G   1% /run
/dev/nvme0n1p2   28G   25G  1.9G  94% /
tmpfs           6.8G     0  6.8G   0% /dev/shm
tmpfs           5.0M  4.0K  5.0M   1% /run/lock
/dev/nvme0n1p4  200G  7.5G  182G   4% /home
/dev/nvme0n1p1  511M  3.5M  508M   1% /boot/efi
tmpfs           1.4G   44K  1.4G   1% /run/user/114

docker by design, menyimpan data, baik berupa image atau volume di dalam folder /var/lib/docker, untuk mengetahui ukuran folder gunakan perintah

sudo du -sh /var/lib/docker
# output
14G	/var/lib/docker

lokasi ini bisa diverifikasi dengan perintah

docker info -f '{{ .DockerRootDir }}'
# output
/var/lib/docker

pada tampilan hardisk diatas partisi /, tinggal tersisa 1.9 GB, sementara /home sangat banyak tersisa, berdasarkan informasi tersebut akan saya pindahkan folder data docker dari /var/lib/docker ke /home/tommy/docker

Dengan cara yang akan dijelaskan dibawah, sangat memungkinkan untuk menggunakan cloud storage seperti S3, tetapi sangat tidak disarankan karena akan memperlambat proses Docker, dan juga akan terasa semakin lambat, karena setiap perubahan perlu menulis dan membaca dari remote storage tersebut.

Berikut ini 4 langkah untuk memindahkan lokasi data root docker ke tempat/partisi yang baru :

1. Berhentikan service docker

sudo systemctl stop docker

2. Copy data ke folder baru

sudo mv /var/lib/docker/* /home/tommy/docker/

3. Update config docker, untuk lokasi yang baru
Bila belum ada buat file /etc/docker/daemon.json, yang isinya

{
  "data-root": "/lokasi/folder/yang/baru"
}

pada contoh saya menjadi

{
  "data-root": "/home/tommy/docker"
}

4. Jalankan service docker

sudo systemctl start docker

verifikasi lokasi root datanya sudah berubah

$ docker info -f '{{ .DockerRootDir }}'
# output
/home/tommy/docker

Filed Under: Linux

Cara Menggunakan curl untuk POST dan GET

Last Updated on 24 July 2022 By tommy Leave a Comment

Ada berbagai method yang bisa direquest oleh curl, misalnya POST dan GET. Cara penggunaan keduanya hampir mirip dan sama-sama bisa digunakan untuk berbagai keperluan, pada implementasinya GET digunakan untuk mengirim data yang kurang sensitif, seperti download gambar, dimana POST digunakan untuk mengirim data yang sensitif, seperti username/password.

curl merupakan standard yang banyak digunakan untuk melakukan koneksi ke HTTP dari command line, curl bisa digunakan diberbagai sistem operasi seperti Linux, Windows, macOS dan *BSD. Cara penggunaan curl

curl https://google.com

dari contoh sederhana tersebut curl akan melakukan request GET ke situs https://google.com, GET adalah metode yang digunakan oleh curl bila kita tidak menyertakan opsi -X POST dan berbagai varian lainnya.

Cara Menggunakan curl untuk mengirim GET

Kirim GET tanpa data

Cara ini untuk mengirim request GET kosong ke endpoint tertentu

curl -X GET https://DOMAIN.com/api

Kirim GET dengan data

Cara ini digunakan untuk mengakses halaman yang meminta penggunaan username dan password, contoh mengakses Elasticsearch

curl -u elastic:PASSWORD  https://DOMAIN.com:9200

Cara Menggunakan curl untuk mengirim POST

Kirim POST tanpa data

Cara ini untuk mengirim request POST kosong ke endpoint tertentu

curl -X POST https://DOMAIN.com/api

Kirim POST dengan data

Cara ini untuk mengirim request POST dengan data ke endpoint tertentu. Contoh kita akan mengirimkan username jaranguda dan password jaranguda. Banyak aplikasi menerima format login seperti ini.

curl -d "username=jaranguda&password=jaranguda" -X POST https://DOMAIN.com/api

Kirim POST JSON

Dengan makin banyaknya backend yang menerima format JSON, kita bisa memanfaatkan curl untuk mengirim data sebagai JSON, yaitu mengirim data dengan Header application/json

curl -H "Content-Type: application/json" -d "username=jaranguda&password=jaranguda" -X POST https://DOMAIN.com/api

File JSON dari file local

curl juga support mengupload file JSON dari lokal komputer anda.

curl -H "Content-Type: application/json"  -T /home/jaranguda/file.json -X POST https://DOMAIN.com/api

Filed Under: dll

Google Cloud Workspace Sebagai Keycloak Identity Provider

Last Updated on 16 July 2022 By tommy Leave a Comment

Keycloak sebagai Identity Provider (IdP) adalah cara menggunakan Keycloak service yang bisa mengautentikasi user. Contohnya adalah menggunakan Keycloak sebagai social login. Daripada meminta user signup di service anda, lebih baik meminta mereka menggunakan salah satu akun sosial medianya untuk login

Beberapa service yang didukung oleh Keycloak : Google, Github, Twitter, Facebook, Stackoverflow, LinkedIn, Instagram dan lain sebagainya.

Pada contoh ini kita akan memberikan akses kepada semua user yang memiliki email di Google Workspace kantor akses ke Sumologic, jadi tiap user bisa langsung mengakses dashboard Sumo Logic tanpa perlu di daftarkan satu-persatu, keuntungan menggunakan cara ini adalah source of truth, jadi tetap di Google Workspace, begitu ada karyawan baru yang join dia otomatis dapat akses, begitu juga dengan karyawan yang pergi otomatis aksesnya hilang ketika akun Googlenya dihapus

1. Dari Google Workspace

Buat Project Baru

https://console.cloud.google.com/projectcreate
create new project google cloud

Enable API
google cloud workspace enable apis

Pada halaman API & Services, klik Credentials, lalu klik lagi Configure Consent Screen
Configure conent screen api credentials

Pada pilihan User Type, sesuaikan dengan kebutuhan anda
Internal : Hanya untuk user didalam organisasi anda
External : Bisa untuk semua user yang memiliki akun gmail/google workspace
disini saya menggunakan Internal
OAuth consent screen
klik Create

Pada halaman App information
Informasi yang harus diisi, disini saya berikan contoh

App Name: Keycloak Jaranguda
User support email: admin-workspace@jaranguda.com
Authorized domains: jaranguda.com
Developer contact information: admin-workspace@jaranguda.com

perhatikan bagian Authorized domains, bila anda memiliki lebih dari satu domain, tambahkan disini.
app registration google workspace
klik Save and Continue

Pada bagian scopes
oauth google workspace scopes
klik Save and Continue

klik menu Credentials disebelah kiri, lalu klik + Create Credentials pilih OAuth client ID
oauth client id

Pada form isi bagian, sebagai contoh
Application type: Web Application
Name: Keycloak
Authorized redirect URIs: https://[Keycloak-URL]/realms/[REALMS]/broker/google/endpoint, contoh https://keycloak.jaranguda.com/realms/sumologic/broker/google/endpoint (Diambil dari Redirect URI sewaktu membuat Identity Provider)
create oauth id google workspace
klik Create

Copy Your Client ID dan Your Client Secret, atau download file JSON agar credential tersebut tidak hilang. Kedua informasi ini yang akan kita tambahkan di keycloak

oauth credential created in google workspace

2. Keycloak

Login sebagai admin ke Keycloak anda https://[URL-Keycloak]/admin/master/console atau https://[URL-Keycloak]/auth, tergantung versi Keycloak yang digunakan
login as admin keycloak

Buat Realms baru

klik tanda panah kebawah di Master, klik Add realm
new realms keycloak
Pada Name, isikan nama Realms, pada contoh saya gunakan Sumologic
realms name
klik Create

Pada realms yang baru dibuat, klik Identity Provider, pilih Google pada Add Provider

add google as new identity provider
Pada add Identity Provider, masukkan

GoogleKeycloak
Your Client IDClient ID
Your Client SecretClient Secret

keycloak identity provider

Percobaan Login

Buka URL untuk login client anda, pada kasus ini saya menggunakan Sumo Logic, saat link tersebut dibuka muncul menu baru sign in with Google dibagian paling bawah.
login as google new options
masukkan email dari domain Google Workspace berikut passwordnya, credential dari Google tidak akan disimpan oleh Keycloak, tetapi hanya akan mengambil session yang digunaakn untuk authentikasi.

Filed Under: dll

Solusi AWS CLI SSL VALIDATION failed

Last Updated on 13 June 2022 By tommy Leave a Comment

Bila anda menggunakan laptop kantor dan di MITM SSL-nya, maka akan sering menemukan pesan di CLI

SSL validation failed for https://sts.amazonaws.com [SSL_CERTIFICATE_FAILED] certificate verify failed: unamble to get issuer certificate
connectionpool.py:1004: InsecureRequestWarning: Unverified HTTPS request is being made to host 'xx.xx.xx.xx'. Adding certificate verification is strongly advised
urllib3/connectionpool.py:1013: InsecureRequestWarning: Unverified HTTPS request is being made to host 'sts.eu-west-2.amazonaws.com'. Adding certificate verification is strongly advised.

Solusi yang biasa digunakan adalah menambahkan --no-verify-ssl, contoh

aws sts get-caller-identity --no-verify-ssl

hal ini hanya bersifat sementara, karena masih akan tetap menampilkan informasi “Unverified HTTPS request”

Masalah ini terjadi karena CA yang digunakan belum dikenali oleh AWS CLI (Python), solusinya adalah menambahkan manual root CA, melalui environment variable

AWS_CA_BUNDLE
REQUESTS_CA_BUNDLE

Pertama download terlebih dahulu root CA tersebut, apapun domain yang digunakan tidak masalah, karena otomatis akan di inject (SSL interception) oleh proxy. Sebagai contoh kita akan menggunakan sts.amazonaws.com

openssl s_client -servername sts.amazonaws.com -connect sts.amazonaws.com:443 -showcerts </dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

Download ROOT CA

Simpan file tersebut ke file /home/jaranguda/root.ca, lalu tambahkan di dalam ~/.bashrc

export AWS_CA_BUNDLE=/home/jaranguda/root.ca
export REQUESTS_CA_BUNDLE=/home/jaranguda/root.ca

reload configurasi bashrc

source ~/.bashrc

cek apakan kedua variable tersebut sudah diload dengan env | grep -E CA_BUNDLE

$ env | grep -E CA_BUNDLE
REQUESTS_CA_BUNDLE=/home/jaranguda/root.ca
AWS_CA_BUNDLE=/home/jaranguda/root.ca

terakhir jalankan kembali AWS CLI, contoh

aws sts get-caller-identity

informasi unverified HTTPS sudah tidak muncul lagi.

Filed Under: Linux

  • Go to page 1
  • Go to page 2
  • Go to page 3
  • Interim pages omitted …
  • Go to page 211
  • Go to Next Page »

Primary Sidebar

Pencarian

Tanya Jawab tentang DevOps SRE CPE, gabung di https://t.me/devopsindonesia

Terbaru

  • Cara Mengelola User dan Role Jenkins dengan Keycloak
  • Login ke Trino dengan Keycloak OpenID
  • Cara Memindahkan Lokasi Data Directory Docker di Linux
  • Cara Menggunakan curl untuk POST dan GET
  • Google Cloud Workspace Sebagai Keycloak Identity Provider

Komentar

  • Nisa on Kemana Menghilangnya Saldo BCA 50 ribu
  • caparuni on Password Router Huawei HG8245H5 Indihome
  • caparuni on Password Router Huawei HG8245H5 Indihome
  • caparuni on Password Router Huawei HG8245H5 Indihome
  • Alfandi on Kemana Menghilangnya Saldo BCA 50 ribu

Tulisan Populer

  • Password Router Huawei HG8245H5 Indihome 1m views
  • Password Terbaru ZTE F609 Indihome 782.3k views
  • Password Superadmin Huawei HG8245A 299.4k views
  • Cara Setting Manual Modem GPON ZTE F609 Indihome 269k views
  • Cara Setting Wireless ZTE F609 Indihome 252.3k views
  • Mengaktifkan Port LAN di Huawei HG8245 Indihome 166.3k views
  • Akses UseeTV Indihome via Wireless ZTE F609 155.2k views
  • Cara Reset Password ZTE F609 Indihome 146.3k views
  • Kemana Menghilangnya Saldo BCA 50 ribu 139.6k views
  • Cara Setting DHCP Server Modem/Router ZTE F609 109.9k views

Kategori

  • Delphi
  • dll
  • Gambas
  • Internet
  • Java
  • Lazarus
  • Linux
  • PHP
  • Review
  • Teknologi

Sponsor

kadal.id
Untuk jadi sponsor, hubungi kita lewat halaman sponsor
© 2021. Jaranguda
  • Linux
  • PHP
  • Internet
  • Teknologi
  • Delphi
  • Gambas
  • Java