2021年6月30日水曜日

Optuna でハイパーパラメーターを最適化する

前回、サンプルを元に適当にハイパーパラメーターを設定した。

今回は Optuna | 株式会社Preferred Networks を使って、いくつかのハイパーパラメーターの組み合わせを試して、一番良かった結果を報告してくれるやつを試す。

環境構築

前回 の環境に optuna を追加。

ゼロから構築する場合には、以下コマンド群を叩く。

apt-get update

apt-get install -y python3-dev python3-pip python3-venv

python3 -m venv --system-site-packages ./tensorflow
source ./tensorflow/bin/activate

pip install --upgrade pip
pip install --upgrade optuna
pip install --upgrade keras
pip install --upgrade tensorflow

プログラム作成

ざっくり手順は以下の感じ。

  1. パラメーター候補の組み合わせを試して、学習結果の評価を返却する関数
    • 以下コードの objective がその関数
  2. optuna#create_study で Study オブジェクトを作る
  3. Study#optimize に「1.」で作成した関数を渡す
    • Study クラスのオブジェクトが、「1.」で指定された組み合わせを色々試して、「試したパラメーターの組み合わせとその評価結果」を記録してくれる
  4. 「3.」の結果から、一番評価の良かったモデルを特定して、そのモデルで分類を行う
from keras.layers import Dense, Dropout, Activation
from keras.models import Sequential
from keras.optimizers import SGD, Adam
from keras.utils import np_utils
from sklearn import datasets
from sklearn.model_selection import train_test_split
from tensorflow import keras
import numpy as np
import optuna
import tensorflow as tf

# パラメーター候補の組み合わせを試して、学習結果の評価を返却する関数
def objective(trial):
    # dropout_rate を 0.25 から 0.5 の間で試す
    dropout_rate = trial.suggest_uniform('dropout_rate', 0.0, 0.5)

    # 試す損失関数の種類を列挙。今回は `categorical_crossentropy` のみ。
    loss = trial.suggest_categorical('loss', ['categorical_crossentropy'])

    # 試す最適化の種類を列挙。今回は `sgd` と `adam` を試す。
    optimizer = trial.suggest_categorical('optimizer', ['sgd', 'adam'])

    # 試す活性化関数の種類を列挙。今回は `tanh` と `relu` を試す。
    activation = trial.suggest_categorical('activation', ['tanh', 'relu'])

    # 試す metrics の種類を列挙。今回は `accuracy` のみ。
    metrics = trial.suggest_categorical('metrics', ['accuracy'])


    # 試すレイヤー数を指定。 1 から 5 層を試す。
    n_layer = trial.suggest_int('n_layer', 1, 5)

    # Sequential モデル生成
    model = Sequential()

    # 入力パラメーターが以下 4 つなので input_dim=4
    # - sepal length: がくの長さ
    # - sepal width: がくの幅
    # - petal length: 花弁の長さ
    # - petal width: 花弁の幅
    input_dim=4

    # 出力は以下 3 種なので units=3
    # - 0: Iris-Setosa(セトナ)
    # - 1: Iris-Versicolour(バーシクル)
    # - 2: Iris-Virginica(バージニカ)
    units=3

    # 入力層
    model.add(Dense(input_dim))

    # 隠れ層
    # dropout_rate が一様というのはダメな気がするがとりあえず optuna の使い方の練習ということで。
    for i in range(n_layer):
        model.add(Dense(units, activation=activation))
        model.add(Dropout(dropout_rate))

    # 出力層
    model.add(Activation('softmax'))

    # モデルのコンパイル
    model.compile(loss=loss, optimizer=optimizer, metrics=metrics)

    # 学習
    history = model.fit(train_x, train_t, batch_size=32, epochs=1000)

    # モデルの保存
    model.save("./trials/{}.model".format(trial.number))

    # 学習結果の評価を返却
    return 1 - history.history[metrics][-1]


## データ準備

# 乱数を固定値で初期化し再現性を持たせる
np.random.seed(0)

# pip パッケージ scikit-learn の datasets から、 iris データをロード
# X: インプットデータ
# T: 正解データ
iris = datasets.load_iris()
X = iris.data
T = iris.target

# 数値を、位置に変換 [0,1,2] ==> [ [1,0,0],[0,1,0],[0,0,1] ]
T = np_utils.to_categorical(T)

# データを訓練用とテスト用に分割
train_x, test_x, train_t, test_t = train_test_split(X, T, train_size=0.8, test_size=0.2)


# パラメーター最適化。 `n_traials` の数だけ試す。
study = optuna.create_study()
study.optimize(objective, n_trials=100)

# 最適化結果表示
print("study.best_trial: {}".format(study.best_trial))
print("study.best_params: {}".format(study.best_params))
#print("study.best_trials: {}".format(study.best_trials))
#print("study.best_value: {}".format(study.best_value))
#print("study.trials: {}".format(study.trials))

# 一番成績の良かったモデルをロード
model = keras.models.load_model("./trials/{}.model".format(study.best_trial.number))

# 学習済みモデルでテストデータを分類する
Y = np.argmax(model.predict(test_x), axis=-1)

## 結果検証確認

# to_categorical の逆変換
_, T_index = np.where(test_t > 0)

# 結果出力
print()
print('RESULT')
print(Y == T_index)

実行結果省略、以上。

参考資料

2021年6月27日日曜日

TensorFlow + Keras で DNN に入門する

Ubuntu 20.04 に TensorFlow + Keras の環境を構築するところから。

Docker コンテナ起動

docker run -it --rm -v "$(pwd):/work" --workdir=/work ubuntu:20.04

TensorFlow 環境構築

前提パッケージインストール

apt-get update

apt-get install -y python3-dev python3-pip python3-venv

TensorFlow 用 python 仮想環境作成

python3 -m venv --system-site-packages ./tensorflow
source ./tensorflow/bin/activate

pip install --upgrade pip

TensorFlow の pip パッケージインストール

pip install --upgrade keras
pip install --upgrade tensorflow

インストール確認

python -c "import tensorflow as tf;print(tf.reduce_sum(tf.random.normal([1000, 1000])))"

ディープラーニング環境(Keras)構築

必要パッケージインストール

pip install --upgrade scikit-learn

Iris の多クラス分類やってみる

以下ページを参考に、 Iris データの他クラス分類をやってみる。

プログラム作成

■ iris.py

from keras.models import Sequential
from keras.layers import Dense, Activation
from keras.optimizers import SGD
from keras.utils import np_utils
from sklearn import datasets
from sklearn.model_selection import train_test_split
import numpy as np

## データ準備

# 乱数を固定値で初期化し再現性を持たせる
np.random.seed(0)

# pip パッケージ scikit-learn の datasets から、 iris データをロード
# X: インプットデータ
# T: 正解データ
iris = datasets.load_iris()
X = iris.data
T = iris.target

# 数値を、位置に変換 [0,1,2] ==> [ [1,0,0],[0,1,0],[0,0,1] ]
T = np_utils.to_categorical(T)

# データを訓練用とテスト用に分割
train_x, test_x, train_t, test_t = train_test_split(X, T, train_size=0.8, test_size=0.2)

## モデル作成

# Sequential モデル生成
model = Sequential()

# 入力パラメーターが以下 4 つなので input_dim=4
# - sepal length: がくの長さ
# - sepal width: がくの幅
# - petal length: 花弁の長さ
# - petal width: 花弁の幅
input_dim=4

# 出力は以下 3 種なので units=3
# - 0: Iris-Setosa(セトナ)
# - 1: Iris-Versicolour(バーシクル)
# - 2: Iris-Virginica(バージニカ)
units=3

# 入力層追加
model.add(Dense(input_dim))
model.add(Dense(units))

# 活性化関数
# 多クラス・単ラベル問題なので、 softmax を選択。
model.add(Activation('softmax'))

# モデルのコンパイル
# 多クラス・単ラベル問題なので、 categorical_crossentropy を選択。
model.compile(
    loss='categorical_crossentropy',
    optimizer=SGD(learning_rate=0.1),
    metrics=['accuracy'])

# トレーニング実行
model.fit(train_x, train_t, verbose=2, epochs=1000, batch_size=32)

# 学習済みモデルでテストデータを分類する
Y = np.argmax(model.predict(test_x), axis=-1)

## 結果検証確認

# to_categorical の逆変換
_, T_index = np.where(test_t > 0)

# 結果出力
print()
print('RESULT')
print(Y == T_index)

動作確認

time python3 iris.py
2021-06-26 17:50:45.659627: W tensorflow/stream_executor/platform/default/dso_loader.cc:64] Could not load dynamic library 'libcudart.so.11.0'; dlerror: libcudart.so.11.0: cannot open shared object file: No such file or directory
2021-06-26 17:50:45.659673: I tensorflow/stream_executor/cuda/cudart_stub.cc:29] Ignore above cudart dlerror if you do not have a GPU set up on your machine.
...(snip)

Epoch 1000/1000
4/4 - 0s - loss: 0.0784 - accuracy: 0.9667

RESULT
[ True  True  True  True  True  True  True  True  True  True  True  True
  True  True  True  True  True  True  True  True  True  True  True  True
  True  True  True  True  True  True]

real    0m53.467s
user    0m26.458s
sys     0m8.617s

以上。

参考資料

2021年6月22日火曜日

Spring Boot と Keycloak でアクセス制御したい

やっていく。

Path 権限
/ ログインしている人なら誰でもログイン可能
/users/user1 user1 のみログイン可能
/users/user2 user2 のみログイン可能
  • / に、各ユーザー用ページへのリンクを表示
  • ログインできないユーザーのページリンクがあっても無駄なので、 自分のページリンクのみを表示したい

前提

構築イメージ

+----------+
| Keycloak |
+----------+
 ↑ localhost:8080
+-----------------------+
| SpringBootApplication |
+-----------------------+
 ↑ localhost:8081
+---------+
| Browser |
+---------+

OAuth クライアントの追加

  1. http://localhost:8080 へアクセスし、 admin でログイン
  2. Clients -> Create ボタン押下
  3. Add Client ページが表示されるので、必要事項を記入して Save ボタン押下
    • Client ID : spring-boot
    • Client Protocol : openid-connect
    • Root URL : http://localhost:8081
  4. spring-boot の設定ページが表示されるため、必要な項目を更新して Save ボタン押下

Spring Boot アプリケーション作成

プロジェクトのひな形作成

Spring Initializr でプロジェクトのひな形を作成する。

今回使うのは こちら

Keycloak の依存を追加

Securing Applications and Services Guide に従い、 keycloak-spring-boot-starterkeycloak-adapter-bom を追加する。

最終的な pom.xml は以下。

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.1</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>dev.mikoto2000.study.springboot.keycloak</groupId>
    <artifactId>gettingstarted</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>gettingstarted</name>
    <description>Demo project for Spring Boot with Keycloak</description>
    <properties>
        <java.version>11</java.version>
    </properties>

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.keycloak.bom</groupId>
                <artifactId>keycloak-adapter-bom</artifactId>
                <version>12.0.1</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-spring-boot-starter</artifactId>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

application.properties の修正

# server port
server.port=8081

# Keycloak
keycloak.auth-server-url=http://localhost:8080/auth

# レルム名を設定する。
keycloak.realm=MyApp

# クライアントIDを設定する。
keycloak.resource=spring-boot
keycloak.public-client=true

# OpenID ConnectのIDトークン属性を設定。
keycloak.principal-attribute=preferred_username

# ディレクトリと、アクセス許可のロールを定義
keycloak.security-constraints[0].authRoles[0]=authorized
keycloak.security-constraints[0].securityCollections[0].patterns[0]=/
keycloak.security-constraints[1].authRoles[0]=user1
keycloak.security-constraints[1].securityCollections[0].patterns[0]=/users/user1
keycloak.security-constraints[2].authRoles[0]=user2
keycloak.security-constraints[2].securityCollections[0].patterns[0]=/users/user2

アプリケーション実装

コントローラーとテンプレートを作る。

コントローラー

package dev.mikoto2000.study.springboot.keycloak.gettingstarted;

import java.security.Principal;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;

/**
 * AppController
 */
@Controller
public class AppController {
    @GetMapping(path = "/")
    public String index(Principal principal, Model model) {
        model.addAttribute("username", principal.getName());

        return "index";
    }

    @GetMapping(path = "/users/{name}")
    public String customers(@PathVariable("name") String name, Principal principal, Model model) {

        model.addAttribute("username", name);
        return "userpage";
    }
}

テンプレート

index.html

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <title>index</title>
</head>
<body>
    <p th:text="'Hello, ' + ${username}"></p>

    <ul>
        <li><a th:href="'./users/' + ${username}" th:text="'./users/' + ${username}"></a></li>
    </ul>
</body>
</html>

userpage.html

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <title th:text="${username} + '\'s page'"></title>
</head>
<body>
    <p th:text="'Hello, ' + ${username} + '!'"></p>
</body>
</html>

動作確認

.\mvnw.cmd spring-boot:run して http://localhost:8081 へアクセス。

user1user2 でログインして、別ユーザーのユーザーページが見れないことを確認。

今回の方法だと、存在しないユーザーが分かってしまうが今はとりあえずいいや…。

後は、ログアウトとかエラーページの整備もやらないとですね。

参考資料

2021年6月21日月曜日

Apache2 + mod_auth_openidc + Keycloak でディレクトリごとにアクセス制限をかけたい

既存の静的サイトに、後付けで以下のようなアクセス制限をかけたい。

site/
    +- index.html       : インデックスページ。ログインしていれば誰でも表示できる
    +- user1/           : user1 用ディレクトリ。この中のファイルは user1 しか表示できない
    |   +- profile.html
    +- user2/           : user2 用ディレクトリ。この中のファイルは user2 しか表示できない
        +- profile.html

前回 は、Keycloakzmartzone/mod_auth_openidc の組み合わせを試してダメだったので、今回は Apache2 の mod_auth_openidc を試す。

前提

構築イメージ

+----------+
| Keycloak |
+----------+
 ↑ localhost:8080
+---------+
| Apache2 |
+---------+
 ↑ localhost:18080
+---------+
| Browser |
+---------+

Keycloak の準備

docker-compose.yaml の取得

Invoke-WebRequest -OutFile docker-compose.yaml -Uri https://raw.githubusercontent.com/keycloak/keycloak-containers/master/docker-compose-examples/keycloak-postgres.yml

とりあえず今回は管理者情報含めてこのまま使う。

Keycloak コンテナ起動

docker compose up

Realm 追加

  1. http://localhost:8080 へ接続
  2. ログイン
    • Username : admin
    • Password : Pa55w0rd
  3. 左上の Master にマウスオーバーしたときに表示される Add realm を押下
  4. Add realm ページが表示されるので、必要事項を記入して Create ボタン押下
    • Name : MyApp
    • Enabled : ON

OAuth クライアントの追加

  1. Clients -> Create ボタン押下
  2. Add Client ページが表示されるので、必要事項を記入して Save ボタン押下
    • Client ID : Apache2
    • Client Protocol : openid-connect
    • Root URL : http://localhost:18080
  3. Apache2 の設定ページが表示されるため、必要な項目を更新して Save ボタン押下
    • Access Type : confidential
  4. Mappers タブ -> Create ボタン押下、必要事項を記入して Save ボタン押下
    • Name: User Realm Role
    • Mapper Type: User Realm Role
    • Token Claim Name: role
  5. Installation タブ -> Format OptionKeycloak OIDC JSON に変更 -> 値を控える

ロール・グループ・ユーザーの設定

ロール作成

  1. ログイン済みユーザーのロールを追加
    1. Roles -> Add Role ボタン押下
    2. Add Role ページが表示されるので、必要事項を記入して Save ボタンを押下
      • Role Name: authorized
  2. user1 のロールを追加
    1. Roles -> Add Role ボタン押下
    2. Add Role ページが表示されるので、必要事項を記入して Save ボタンを押下
      • Role Name: user1
  3. user2 のロールを追加
    1. Roles -> Add Role ボタン押下
    2. Add Role ページが表示されるので、必要事項を記入して Save ボタンを押下
      • Role Name: user2

グループ作成

  1. Groups -> New ボタン押下
  2. Create group ページが表示されるので、必要事項を記入して Save ボタン押下
    • Name: authorized
  3. Role Mapping タブを開く
    1. Available Roles を選択し、 add selected> ボタン押下。 Assigned Rolesauthorized が追加されたことを確認

ユーザー作成

  1. usre1 を追加
    1. Users -> Add user ボタン押下
    2. Add user ページが表示されるので、必要事項を記入して Save ボタン押下
      • username: user1
      • Email: user1@example.com
    3. Credentials タブを開き、パスワード設定を行い Set Password ボタンを押下
      • Password, Password Confirmation を入力
      • Temporary: OFF へ変更
    4. Role Mappings タブを開き、ロール設定を行う
      • Available Roles から user1 を選択し、 Add selected> ボタンを押下
    5. Groups タブを開き、グループ設定を行う
      • Available Groups から authorized を選択し、 join ボタンを押下
  2. usre1 を追加
    1. Users -> Add user ボタン押下
    2. Add user ページが表示されるので、必要事項を記入して Save ボタン押下
      • username: user2
      • Email: user2@example.com
    3. Credentials タブを開き、パスワード設定を行い Set Password ボタンを押下
      • Password, Password Confirmation を入力
      • Temporary: OFF へ変更
    4. Role Mappings タブを開き、ロール設定を行う
      • Available Roles から user2 を選択し、 Add selected> ボタンを押下
    5. Groups タブを開き、グループ設定を行う
      • Available Groups から authorized を選択し、 join ボタンを押下

Apache2 の準備

Docker イメージ作成

httpd:2.4.48 をベースに、 mod_auth_openidc をインストールした Docker イメージを作成する。

See: https://github.com/mikoto2000/docker-images/blob/master/httpd/Dockerfile

設定ファイル作成

httpd.conf

イメージ内のデフォルトの設定ファイルをコピー。

docker run -d --rm --name httpd mikoto2000/httpd:latest
docker cp httpd:/usr/local/apache2/conf/httpd.conf ./httpd.conf.original
docker kill httpd

コピーした http.conf.original を基に、 httpd.conf を作成する。 その差分を以下に示す。

httpd.conf の差分

> diff.exe -u .\httpd.conf.original .\httpd.conf
--- ".\\httpd.conf.original"    2021-05-26 09:23:52.000000000 +0900
+++ ".\\httpd.conf"     2021-06-21 01:10:11.138620400 +0900
@@ -49,7 +49,7 @@
 # prevent Apache from glomming onto all bound IP addresses.
 #
 #Listen 12.34.56.78:80
-Listen 80
+Listen 18080

 #
 # Dynamic Shared Object (DSO) Support
@@ -139,10 +139,10 @@
 LoadModule setenvif_module modules/mod_setenvif.so
 LoadModule version_module modules/mod_version.so
 #LoadModule remoteip_module modules/mod_remoteip.so
-#LoadModule proxy_module modules/mod_proxy.so
+LoadModule proxy_module modules/mod_proxy.so
 #LoadModule proxy_connect_module modules/mod_proxy_connect.so
 #LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
-#LoadModule proxy_http_module modules/mod_proxy_http.so
+LoadModule proxy_http_module modules/mod_proxy_http.so
 #LoadModule proxy_fcgi_module modules/mod_proxy_fcgi.so
 #LoadModule proxy_scgi_module modules/mod_proxy_scgi.so
 #LoadModule proxy_uwsgi_module modules/mod_proxy_uwsgi.so
@@ -196,7 +196,9 @@
 #LoadModule speling_module modules/mod_speling.so
 #LoadModule userdir_module modules/mod_userdir.so
 LoadModule alias_module modules/mod_alias.so
-#LoadModule rewrite_module modules/mod_rewrite.so
+LoadModule rewrite_module modules/mod_rewrite.so
+LoadModule auth_openidc_module /usr/lib/apache2/modules/mod_auth_openidc.so
+

 <IfModule unixd_module>
 #
@@ -549,3 +551,8 @@
 SSLRandomSeed connect builtin
 </IfModule>

+<IfModule auth_openidc_module>
+Include conf/extra/oidc.conf
+</IfModule>
+
+

oidc.conf

以下を参考に oidc でのアクセス制限設定を行う。

  • https://github.com/openstandia/keycloak-dockerfiles/blob/master/reverse_proxy-based-arch-examples/kc-mod_auth_openidc-example/reverse_proxy/proxy.conf

oidc.conf という名前で以下設定ファイルを保存。

oidc.conf

########################################################################################
#
# Common Settings
#
########################################################################################

# バーチャルホスト設定
NameVirtualHost *:18080

# keepAlive設定
KeepAlive On

# [mod_auth_openidc] OpenID Connectのレスポンスタイプ設定(code = Authorization Code Grant)
OIDCResponseType "code"

# [mod_auth_openidc] Cookieやキャッシュの暗号化で使用されるパスフレーズの設定
OIDCCryptoPassphrase OuY94OFtB+cF0n1mhjV5zg==

# [mod_auth_openidc] RP(mod_auth_openidc)のセッションクッキーが設定されるドメインの設定
OIDCCookieDomain localhost

# [mod_auth_openidc] OP(Keycloak)との通信時にSSLを使用する際の、有効なサーバー証明書チェック有無の設定
OIDCSSLValidateServer Off

# [mod_auth_openidc] OP(Keycloak)のメタデータURLの設定
OIDCProviderMetadataURL http://host.docker.internal:8080/auth/realms/MyApp/.well-known/openid-configuration

# [mod_auth_openidc] クレームの連携方法の設定
OIDCPassClaimsAs headers

# [mod_auth_openidc] クレームのプレフィックスの設定
#OIDCClaimPrefix ""

<VirtualHost *:18080>
    ServerName    localhost
    RewriteEngine On
    RewriteOptions inherit

    OIDCScope "openid"

    # [mod_auth_openidc] リダイレクトURIの設定
    OIDCRedirectURI  http://localhost:18080/oidc-redirect

    # [mod_auth_openidc] OP(Keycloak)に設定されているクライアントIDの設定
    OIDCClientID Apache2

    # [mod_auth_openidc] OP(Keycloak)に設定されているクライアントIDに対応するクライアントsecretの設定
    OIDCClientSecret 75700c2f-7b91-470a-8104-47a7f62c30d3

    # 認証ロケーション設定(/)
    # 一旦、"/"以降を全て認証対象とし、対象から外す場合は、以下に別途記載する。
    # ログインしていれば誰でも表示できる
    <Location />
        AuthType openid-connect
        Require claim "role:authorized"
    </Location>


    # リダイレクト URL の設定
    <Location /oidc-redirect>
        AuthType openid-connect
        Require valid-user
    </Location>

    # 制限ロケーション設定(/user1/)
    # roleにuser1が設定されているユーザのみがアクセス可能
    <Location /user1/>
        AuthType openid-connect
        Require claim "role:user1"
    </Location>

    # 制限ロケーション設定(/user2/)
    # roleにuser2が設定されているユーザのみがアクセス可能
    <Location /user2/>
        AuthType openid-connect
        Require claim "role:user2"
    </Location>

    # favicon.ico対策
    <Location /favicon.ico>
        Require all granted
    </Location>

</VirtualHost>

Apache2 起動

作成した設定ファイルを適切に配置して Docker コンテナを起動。

docker run -it --rm --name httpd `
-v "$(pwd)/site:/usr/local/apache2/htdocs" `
-v "$(pwd)/httpd.conf:/usr/local/apache2/conf/httpd.conf" `
-v "$(pwd)/oidc.conf:/usr/local/apache2/conf/extra/oidc.conf" `
-p "18080:18080" mikoto2000/httpd:latest

動作確認

http://localhost:18080/index.html へアクセスすると、 Keycloak のログイン画面が表示される。

冒頭で説明した通りのアクセス制限ができていることを確認。

以上。

参考資料

2021年6月20日日曜日

oauth2-proxy で、静的サイトに後付けでアクセス制限をかけたい

既存の静的サイトに、後付けで以下のようなアクセス制限をかけたい。

site/
    +- index.html       : インデックスページ。誰でも表示できる
    +- user1/           : user1 用ディレクトリ。この中のファイルは user1 しか表示できない
    |   +- profile.html
    +- user2/           : user2 用ディレクトリ。この中のファイルは user2 しか表示できない
        +- profile.html

Keycloakoauth2-proxy/oauth2-proxy を組み合わせることで、そういったことができそうなので試した。

現状の oauth2-proxy では、パスごとのアクセス権限設定できず、 アップストリーム単位でのアクセス制限しかないようだ。

前述の目的は達成できないが、とりあえず使い方だけ記録しておく。

前提

構築イメージ

+----------+        +-------+
| Keycloak |        | NGINX |
+----------+        +-------+
 ↑ localhost:8080    ^ localhost:8000
+--------------+      |
| OAuth2 Proxy |------+
+--------------+
 ↑ localhost:18080
+---------+
| Browser |
+---------+

Keycloak の準備

docker-compose.yaml の取得

Invoke-WebRequest -OutFile docker-compose.yaml -Uri https://raw.githubusercontent.com/keycloak/keycloak-containers/master/docker-compose-examples/keycloak-postgres.yml

とりあえず今回は管理者情報含めてこのまま使う。

Keycloak コンテナ起動

docker compose up

Realm 追加

  1. http://localhost:8080 へ接続
  2. ログイン
    • Username : admin
    • Password : Pa55w0rd
  3. 左上の Master にマウスオーバーしたときに表示される Add realm を押下
  4. Add realm ページが表示されるので、必要事項を記入して Create ボタン押下
    • Name : MyApp
    • Enabled : ON

OAuth クライアントの追加

  1. Clients -> Create ボタン押下
  2. Add Client ページが表示されるので、必要事項を記入して Save ボタン押下
    • Client ID : oauth2-proxy
    • Client Protocol : openid-connect
    • Root URL : http://localhost:18080
  3. Oauth2-proxy の設定ページが表示されるため、必要な項目を更新して Save ボタン押下
    • Access Type : confidential
  4. Mappers タブ -> Create ボタン押下、必要事項を記入して Save ボタン押下
    • Name: Group Membership
    • Mapper Type: Group Membership
    • Token Claim Name: groups
  5. Installation タブ -> Format OptionKeycloak OIDC JSON に変更 -> 値を控える

ロール・グループ・ユーザーの設定

ロール作成

  1. Roles -> Add Role ボタン押下
  2. Add Role ページが表示されるので、必要事項を記入して Save ボタンを押下
    • Role Name: authorized

グループ作成

  1. Groups -> New ボタン押下
  2. Create group ページが表示されるので、必要事項を記入して Save ボタン押下
    • Name: authorized
  3. Role Mapping タブを開く
    1. Available Roles を選択し、 add selected> ボタン押下。 Assigned Rolesauthorized が追加されたことを確認

ユーザー作成

  1. Users -> Add user ボタン押下
  2. Add user ページが表示されるので、必要事項を記入して Save ボタン押下
    • username: mikoto
    • Email: mikoto2000@gmail.com
  3. Credentials タブを開き、パスワード設定を行い Set Password ボタンを押下
    • Password, Password Confirmation を入力
    • Temporary: OFF へ変更
  4. Groups タブを開き、グループ設定を行う
    • Available Groups から authorized を選択し、 join ボタンを押下

NGINX 起動

docker run --name nginx --rm -v "$(pwd)/site:/usr/share/nginx/html" -p "8000:80" nginx

OAuth2 Proxy の準備

実行バイナリのダウンロード

oauth2-proxy V7.1.3 のリリースページ から、 oauth2-proxy-v7.1.3.windows-amd64.tar.gz をダウンロードし、展開する。

展開した oauth2-proxyoauth2-proxy.exe にリネーム。

$COOKIE_SECRET=$(docker run ruby ruby -rsecurerandom -e'puts SecureRandom.base64(16)')

oauth2-proxy 実行

$CLIENT_SECRET="f2c7ef6b-e955-4ed2-8843-72f0975956f5"
$KEYCLOAK_BASE_URL="http://localhost:8080/auth/realms/MyApp/protocol/openid-connect"
$OAUTH2_PROXY_ADDRESS="http://localhost:18080"
$NGINX_ADDRESS="http://localhost:8000"

./oauth2-proxy --provider="keycloak" `
--client-id="oauth2-proxy" `
--client-secret=${CLIENT_SECRET} `
--login-url="${KEYCLOAK_BASE_URL}/auth" `
--redeem-url="${KEYCLOAK_BASE_URL}/token" `
--profile-url="${KEYCLOAK_BASE_URL}/userinfo" `
--validate-url="${KEYCLOAK_BASE_URL}/userinfo" `
--http-address=${OAUTH2_PROXY_ADDRESS} `
--upstream=${NGINX_ADDRESS} `
--scope="openid" `
--redirect-url="http://localhost:18080/oauth2/callback" `
--email-domain="*" `
--cookie-secret=${COOKIE_SECRET} `
--allowed-group="/authorized"

動作確認

http://localhost:18080/index.html へアクセスすると、 Keycloak のログイン画面が表示される。

ログインすると、 http://localhost:18080/index.html で、 NGINX に配置した index.html が表示される。

以上。

参考資料