IMMICH NGINX und 2FA

metalworker · Montag um 14:13

Grüße Gemeinde,

ich versuche mal so bisl mit Immich warm zu werden.

Woran ich da gerade klemme ist das Thema 2F.

VPN ist da für mich nicht drin.Da ich den Dienst noch für einige andere Freigebe .
Das muss einfach und sicher sein.

Von allein bringt Immich ja keine 2FA funktion.
Geht aber wohl über Oauth.

Hat das schon mal jemand umgsetzt ?
Und wenn ja , mit welchen Dienst?

Kurz mein Setup dafür :

Router : Opnsense als VM aufm Proxmox
RP : NGINX Proxy Manager als VM aufm Proxmox
Docker : Läuft auf ner 918+

Anzeige · Montag um 14:13

Hallo metalworker,

Bücher und Hardware zum Thema gibt es bei Amazon: IMMICH NGINX und 2FA

Ronny1978 · Montag um 14:22

Ich scheitere an den Punkten auch und wollte es schon mal umsetzen, aber durch den HA Proxy auf der OpnSense, ohne Erfolg. Gehen müsste sowas mit Authelia oder Authentik.

Aber ICH bin für die Config im HA zu blöde.

metalworker · Montag um 14:27

Na ich hab den RP ja einzeln , aber auch klemme ich total oder hab nen Knoten im Kopf.

Verstehe aber auch nicht warum da Immich ni zumindest ne OTP Abfrage einbaut .

Ronny1978 · Montag um 14:34

metalworker schrieb:
Na ich hab den RP ja einzeln

Ja, für die OTP Abfrage ist dann Authelia und Authentik zuständig. Der RP schickt bestimmte Seitenaufrufe ERST zum Docker (Authelia oder Authentik), dort wird "kontrolliert" und dann geht es zurück zum RP bzw. dem ursprünglichen Server/Docker oder sonst was.

metalworker · Montag um 15:06

Ja so die Theorie.
Muss ich mich noch bisl durchlesen .
Aber ist irgendwie nervig

Ronny1978 · Montag um 15:30

Da gebe ich dir recht. Ich sage mal, was mir unserer IT betreuende Firma (privat) empfohlen hat:

Wenn der Zugriff durch SSL gesichert ist und ein 30-stelliges Passwort existiert und dann vielleicht auch noch die "Fehlschläge" begrenzt werden können, lohnt sich die Einrichtung einer externen 2FA nicht, wenn die App keine eigene mitbringt. Bis das SSL "gebrochen" wird oder/und das Passwort geknackt, sind die 3 Monate für das neue SSL rum. Bei Jellyfin hatte ich auch erst Bedenken. Aber wie soll der "böse Bube" auf meinen Jellyfin Server kommen? Durchgelassen wird über den RP nur 443. Das Passwort hat eine Länge von 30 Stellen und er hat einen Versuch, bevor der Nutzer gesperrt wird. Sonstige Zugriffe hat er keine, wenn er den Benutzer errät.

Ein bisschen kalkuliere ich hier auch mit Aufwand und Nutzen.

metalworker · Montag um 15:43

ja das stimmt natürlich schon .

Hat Immich denn wenigtens nen Brutforce schutz?
Müsste ich mal suchen.

Ich hab bei mir ja auch nen Geoblock drin und co.

Suche

IMMICH NGINX und 2FA

metalworker

Benutzer

Anzeige

Ronny1978

Benutzer

metalworker

Benutzer

Ronny1978

Benutzer

metalworker

Benutzer

Ronny1978

Benutzer

metalworker

Benutzer

Kaffeautomat