Использование pam для аутентификации машины по экземпляру keycloak ⇐ Linux

[Anonymous]

У меня есть установка, в которой есть веб-приложение, которое может подготавливать и запускать машины внутри частной сети арендатора на основе некоторых критериев. Веб-приложение также позволяет мне создавать пользователей и заставлять их входить в систему. Это базовый CRUD. Однако я бы хотел, чтобы люди входили на веб-портал и на подготовленные компьютеры с одинаковыми учетными данными. Это моя проблема. В будущем мне бы также хотелось, чтобы аутентификация и управление пользователями осуществлялись через . сервер LDAP, который будет размещен у арендатора, с которым будет общаться это приложение, о котором я говорю. Однако это не тема данного вопроса.
Мое текущее решение — использовать keycloak, чтобы веб-приложение могло аутентифицироваться по нему. Эта часть работает довольно хорошо. Веб-приложение может создавать пользователей, аутентифицироваться в нем и т. д. Я планировал, чтобы подготовленные машины также аутентифицировались по экземпляру keycloak с использованием какого-то модуля PAM. Кажется, это имеет смысл. Я использовал ИИ, чтобы попытаться создать решение, и он предложил использовать pam_script для вызова внешнего сценария, чтобы связаться с keycloak и выполнить аутентификацию. Логика скрипта вроде работает. Он может аутентифицироваться, но я думаю, что соглашение о вызовах между PAM и сценарием нарушено или что-то еще не так, и это не работает. При наличии на компьютере существующих пользователей (те, у кого есть записи в файле passwd) он просто зависает (но я могу проверить, что сценарий вызывается). Для пользователей, у которых нет записи пароля, я просто получаю сообщение «Нет записи пароля» и прерываю работу. Я хотел бы, чтобы он прошел аутентификацию по keycloak, а затем автоматически создал локального пользователя.
Два вопроса.

• Является ли подход Keycloak хорошим решением моей первоначальной проблемы?
• Как заставить это работать?

Подробнее здесь: https://stackoverflow.com/questions/791 ... k-instance