'Authentik' für Benutzer-Registrierung und Zugriffskontrolle

[ebusynsyn]

Hallo,
ich lese hier immer wieder, dass die NAS' von extern aus Sicherheitsgründen nicht erreichbar sein sollen. Und wenn doch, dann wenigstens per VPN. Die Gründe dafür sind wohl bekannt und ich will hier auch nicht weiter darauf eingehen.

In meinem Fall ist es so, dass im Router die Ports 443/80 auf den Reverse-Proxy der DS1522+ weitergeleitet und damit zwei Apps via https erreichbar gemacht werden. Der grundsätzliche Zugriff auf NAS und/oder mein LAN ist in der Tat nur via VPN möglich. Von extern erreichbar sind die Apps 'Bitwarden' und 'Bookstack'. Beiden laufen im Docker der DS1522+ und sind mit DDNS und Zertifikat erreichbar.

Natürlich habe ich mir Gedanken über die Sicherheit gemacht. Nebst guten Passwörtern sind bei beiden Apps die 2FA aktiv. Beide Apps haben noch 'interne Sicherheitsmerkmale', die in den Config-Files eingegeben werden müssen. Ergänzend habe ich für Bitwarden noch 'Fail2Ban' eingerichtet, sodass nach mehr als 3 Fehlanmeldungen die IP gesperrt wird.

Weil aber die Implementation fail2ban aus meiner Sicht nicht so trivial ist habe ich für Bookstack nach einer anderen Lösung gesucht und bin auf Authentik gestossen. 'Authelia' habe ich auch versucht, bin damit aber nicht klar gekommen.

Ich habe dann eine Synology-VM mit Ubuntu-Server-20.04. in Betrieb genommen und dort 'Authentik' im Docker/Docker-Compose installiert. Danach in 'Authentik' eine Anwendung für 'Bookstack konfiguriert und dann noch den Synology-Reverse-Proxy angepasst.

Nun ist Bookstack von extern nur noch mit einer '6FA' zu erreichen.

Mit der Eingabe der URL von Bookstack komme ich auf die Login-Seite von 'Authentik'

1. Benutzername
2. Passwort
3. 2FA

Automatische Weiterleitung zum Login von 'Bookstack'

1. Benutzername
2. Passwort
3. 2FA

Selbstverständlich sind alle 6 Faktoren unterschiedlich und soweit wie möglich kompliziert. '2FA' sind halt nur Zahlen..

Wenn also jemand die URL von Bookstack kennt/herausfindet, muss er noch 6 weitere, unterschiedliche Merkmale kennen um durchzukommen. Das kann mit jeder anderen App wiederholt werden. Einfach in 'Authentik' eine weitere Anwendung einrichten.

Kompliziert? Nicht wirklich. Es ist so, dass die Umleitung via Authentik im Browser gespeichert wird und ich nicht jedes Mal alle 6 Faktoren eingegeben muss um in 'Bookstack' zu arbeiten.

Mit dem Stichwort 'Authentik' finde ich keinen einzigen Eintrag hier im Form.

Kennt Ihr Authentik?
Was haltet Ihr von meiner Lösung?

Beste Grüsse

 

[alexhell]

Ich kenn das nicht, aber das hört sich sehr interessant an. Gibt es irgendwo eine Demo wo man sich das mal angucken kann? Ich habe aktuell docker-swag als Reverse Proxy im Einsatz. Da ist fail2ban und Authelia mit drin. Also da muss man pro Reverse Proxy Route 2 Zeilen einkommentieren bzw. hinzufügen. Aber Authentika scheint mächtiger zu sein. Würde es mir mal gerne angucken, aber im Moment keine Zeit das erst einzurichten .

 

[ebusynsyn]

@alexhell

Leider nein, mir ist auf dem Weg zur jetzigen Lösung keine Demo begegnet. Es gibt einige Videos auf YouTube. SWAG hatte ich mir auch angeschaut. Aber mangels Fachwissen für eine saubere Integration wieder verworfen.

 

[alexhell]

Schade....Dann werde ich mir die Tage mal Videos angucken. Kann mir das mit den Faktoren nicht vorstellen bzw. wie es integriert wird.

SWAG war eigentlich ziemlich simple einzurichten. Funktioniert out of the box. Das einzige was es halt nicht gibt ist ein Webinterface um die Reverse Proxys anzulegen. Da muss man die Configs bearbeiten/erstellen.

 

[ebusynsyn]

Ein kurzes aber informatives Video ist das hier rund 8 Minuten.

Aufmachung und Umsetzung des Video finde ich nicht gut, aber inhaltlich auf das wesentliche fokussiert und nachvollziebar. Je nachdem wie Deine Auffassungsgabe zur Zeit ist, allenfalls in einer langsameren Geschwindigkeit ansehen kleiner Scherz am Rande.

 

[alexhell]

Hab mir das eben im Schnelldurchlauf mal angeguckt. Das scheint schon sehr mächtig zu sein, aber irgendwie ist mir das zu viel Aufwand. Wenn ich das für jede Anwendung konfigurieren muss, dann habe ich jetzt schon keine Lust mehr Ich glaube ich bleibe bei Authelia. Da hab ich auch 2FA und ich muss das nicht für jede Anwendung einzeln einstellen sondern nur 2 Zeilen einfügen.

 

[ebusynsyn]

In der Tat ist es mit dem hinzufügen von zwei Zeilen nicht getan. Aber mehr als 5 bis 10 Minuten brauchte ich nicht um Bookstack in Authelia zu konfigurieren.

Aber klar, jedem das Seine und letztendlich muss es für Dich passen. Ich war überrascht, dass ich zum Stichwort Authentik nichts im Forum gefunden habe. Jetzt gibt es mindestens einen Eintrag

Beste Grüsse und einen schönen Abend.

 

[alexhell]

Ist immer gut wenn man auch Alternativen kennt. Und viele finden es bestimmt auch super, dass pro Anwendung verschiedene Anmeldedaten verwendet werden können. Nur für mich ist das alles zu viel. Mir reicht ein User mit OTP aus. Aber vielleicht ändert sich das auch irgendwann

 

[frogy]

Wie muss man den Synology Reverse Proxy anpassen damit es mit Authentik funktioniert?