Aller au contenu

[TUTO] [Docker] Authelia : serveur d'authentification

.Shad.

Par .Shad.
dans Tutoriels

 Partager

Messages recommandés

Taribam Apprentice

Taribam

Posté(e)
Posté(e)

Bonjour,

Le tuto est très clair, et contrairement aux apparences, plutôt rapide à mettre en place quand on a suivi "certificat SSL et reverse proxy via docker" par le même auteur. La seule "difficulté" étant : ne pas se tromper dans les espaces du configuration.yml" 😪

1
  • Réponses 72
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

.Shad.
.Shad.

1. Qu'est-ce qu'Authelia ? Authelia est un serveur d'authentification open-source proposant une authentification unique ou à deux facteurs à la demande. C'est donc un moyen de venir appliquer u

Taribam
Taribam

Bonjour, Le tuto est très clair, et contrairement aux apparences, plutôt rapide à mettre en place quand on a suivi "certificat SSL et reverse proxy via docker" par le même auteur. La seule "diffi

.Shad.
.Shad.

Salut, Chez moi pas de souci : Tu peux : vérifier qu'il n'y a pas une tabulation parasite au niveau du champ password vérifier que le chemin indiqué pour AUTHELIA_NOTI

Images postées

CHILLY996 Contributor

CHILLY996

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Avez-vous réussi à mettre le mot de passe SMTP dans un fichier avec l'option AUTHELIA_NOTIFIER_SMTP_PASSWORD_FILE dans le docker compose ?

Je mets mon mot de passe dans le fichier en clair et j'ai une erreur de connexion SMTP. Il faut l'encoder ?

Je n'ai pas trouvé d'info.

Si quelqu'un a réussi ... Snon avec le mot de passe en clair de le fichier configuration.yml ca fonctionne.

 

Une autre question, j'ai 3 sous domaines avec une authentification 2 facteurs. Une fois connecté sur un des sous domaines en 2 facteurs, les autres ne demandent rien, c'est normal ?

Modifié par CHILLY996
0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)

Salut,

Il y a 13 heures, CHILLY996 a dit :

Avez-vous réussi à mettre le mot de passe SMTP dans un fichier avec l'option AUTHELIA_NOTIFIER_SMTP_PASSWORD_FILE dans le docker compose ?

Je mets mon mot de passe dans le fichier en clair et j'ai une erreur de connexion SMTP. Il faut l'encoder ?

Je n'ai pas trouvé d'info.

Si quelqu'un a réussi ... Snon avec le mot de passe en clair de le fichier configuration.yml ca fonctionne.

Chez moi pas de souci :

authelia_smtp_conf.png

Tu peux :

  • vérifier qu'il n'y a pas une tabulation parasite au niveau du champ password
  • vérifier que le chemin indiqué pour AUTHELIA_NOTIFIER_SMTP_PASSWORD_FILE est le bon dans le fichier compose.
  • vérifier que les droits en lecture sont OK
Il y a 13 heures, CHILLY996 a dit :

Une autre question, j'ai 3 sous domaines avec une authentification 2 facteurs. Une fois connecté sur un des sous domaines en 2 facteurs, les autres ne demandent rien, c'est normal ?

https://www.authelia.com/docs/configuration/session/
A priori c'est au niveau du paramètre samesite que tu règles ça. Par défaut c'est le fonctionnement normal.

1
CHILLY996 Contributor

CHILLY996

Posté(e)
Posté(e)

@.shad.

OK pour la doc sur la session; je vais la mettre en œuvre en passant de lax à strict.

Donc si je comprends bien le mot de passe SMTP est en clair dans le fichier smtp dont le chemin est indiqué par AUTHELIA_NOTIFIER_SMTP_PASSWORD_FILE. Bon ca ne marchait pas hier, je vais retester aujourd'hui.

0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)

Oui, c'est un bête fichier, auquel tu essaies par contre d'appliquer des permissions strictes, ça évite d'avoir le mot de passe dans le fichier de configuration directement.

Comme pour les autres secrets en fait. 😉 

1
CHILLY996 Contributor

CHILLY996

Posté(e)
Posté(e) (modifié)

@.Shad.

Du coup c'était un problème de droits, il était en -rw-r-----, maintenant il est bien en -rw-rw----.

Par contre, une fois authelia lancé, le répertoire cong et tout ce qui est en dessous est en root:root chez moi. C'est authelia qui change l'appartenance.

C'est pareil chez vous ?

C'est vrai qu'il n'y a pas de UID et de GID dans le docker compose.

EDIT :

Le fait de passer de lax à strict ne change rien ... ce n'est pas grave.

Modifié par CHILLY996
PAssge de lax à strict
0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)

On peut raisonnablement penser que si tu te connectes en 2FA avec un périphérique, tu peux accéder à tous les autres sites nécessitant le même niveau de sécurité, ça ne me choque pas.

Sinon dans la partie session, tu peux ajuster la durée du cookie d'authentification, etc...

Oui c'est root c'est normal.

1
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e) (modifié)

Ben c'est ce que j'ai, un authelia pour mon domaine local, et un authelia pour mon domaine pour mon VPS. Hébergés chacun sur des machines différentes. J'ai dû mal comprendre ta question ?

Modifié par .Shad.
0
CHILLY996 Contributor

CHILLY996

Posté(e)
Posté(e)

Je vais tout reprendre au calme demain matin. Ca fait 3 install différentes et sur le serveur distant authelia a marché du premier coup. Sur le Pi le reverse proxy fonctionne, le filtra IP fonctionne mais c'est authelia qui ne fonctionne pas. Faudrait que je passe les logs en debug ...

0
CHILLY996 Contributor

CHILLY996

Posté(e)
Posté(e)

@Swagme Bonsoir, avez-vous réussi finalement avec authelia sur le PI ? J'ai exactement les mêmes problèmes. Le reverse proxy (SWAG) fonctionne sans authelia. Dès que j'active authelia, erreur 500 ...

J'ai déjà installé SWAG et authelia sur un serveur distant et je n'ai rencontré aucun problème.

0
CHILLY996 Contributor

CHILLY996

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Quelqu'un a essayé de mettre authelia pour accéder à bitwarden ?

J'ai une erreur  sur l'extension chrome et mon aplli android se ferme.

Y-a-t-il des paramètres spéciaux à mettre dans le fichier bitwarden.subdomain.conf dans SWAG ?

 

EDIT :

Du coup, j'ai finalement activé le code TOTP directement dans bitwarden pour éviter tous les soucis ...

Modifié par CHILLY996
Changement de type de code TOTP
0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e) (modifié)
Le 03/01/2022 à 17:30, CHILLY996 a dit :

EDIT :

Du coup, j'ai finalement activé le code TOTP directement dans bitwarden pour éviter tous les soucis ...

Oui Bitwarden a déjà un bon système de sécurité, aucune raison de rajouter une couche. 😉 
Tu as DuoAPI qui est bien aussi, je l'utilise  pour Authelia.

Modifié par .Shad.
0
  • 2 semaines après...
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e) (modifié)

@pateretwo Salut et merci pour la remarque, en fait j'avais déjà corrigé quelques versions avant et je ne sais pas pourquoi j'avais zappé de mettre à jour le tutoriel, le mal est réparé. 🙂 

Pour info, l'équipe de développement d'Authelia reconnaît que ce changement aurait dû induire une upgrade majeure (v5) vu que c'est un "breaking change".

Ce n'est pas un mal d'utiliser watchtower, même en prod, car le retour en arrière est simplissime, tu modifie simplement de latest à une version spécifique et c'est reparti (sauf si des paquets de gens dépendent de toi évidemment...).

Pour info je vais bientôt ajouter la méthode de connexion via DuoAPI, simplement je l'ai fait y a longtemps sans prendre note 😄 je vais bientôt le mettre pour ma femme ce sera l'occasion de décortiquer la méthode.

Modifié par .Shad.
0
  • 6 mois après...
vick Rookie

vick

Posté(e)
Posté(e)

Bonjour, 
Tout d'abord merci pour ce tuto @.Shad.!
J'ai essayé depuis plusieurs jours malheureusement, les logs m'indiquent de nombreuses erreurs.
J'avoue, je ne suis plutôt pas un néophyte.
Déjà, puis-je passer par les revers proxy du DSM (synology) ? Aujourd'hui, mais reverse proxy passe par le DSM, même si j'ai installé SWAG.
Comme je ne vois pas où est la solution, quelqu'un aurait il la gentillesse de m'expliquer ou j'ai fauté.
Merci à vous 

 

"time="2022-08-09T20:47:55+02:00" level=warning msg="Configuration: configuration key 'authentication_backend.disable_reset_password' is deprecated in 4.36.0 and has been replaced by 'authentication_backend.password_reset.disable': this has been automatically mapped for you but you will need to adjust your configuration to remove this message"
time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: secrets: error loading secret into key 'jwt_secret': it's already defined in other configuration sources"
time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: secrets: error loading secret into key 'notifier.smtp.password': it's already defined in other configuration sources"
time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: configuration key not expected: storage.lstorage"
time="2022-08-09T20:47:55+02:00" level=fatal msg="Can't continue due to the errors loading the configuration"
time="2022-08-09T20:48:02+02:00" level=warning msg="Configuration: configuration key 'authentication_backend.disable_reset_password' is deprecated in 4.36.0 and has been replaced by 'authentication_backend.password_reset.disable': this has been automatically mapped for you but you will need to adjust your configuration to remove this message"
time="2022-08-09T20:48:02+02:00" level=error msg="Configuration: secrets: error loading secret into key 'jwt_secret': it's already defined in other configuration sources"

0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)
il y a 37 minutes, vick a dit :

Déjà, puis-je passer par les revers proxy du DSM (synology) ? Aujourd'hui, mais reverse proxy passe par le DSM, même si j'ai installé SWAG.

Tu peux très bien continuer à utiliser celui de DSM tant que tu veux, il suffit que tes enregistrements de proxy inversé pointent vers le NAS au lieu de SWAG.

Pour tes erreurs :

il y a 38 minutes, vick a dit :

time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: secrets: error loading secret into key 'jwt_secret': it's already defined in other configuration sources"

il y a 39 minutes, vick a dit :

time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: secrets: error loading secret into key 'notifier.smtp.password': it's already defined in other configuration sources"

Le plus probable est que dans le fichier de configuration d'Authelia tu as laissé le mot de passe par défaut, et que tu le précises également via le fichier externe comme je le préconise. Il se peut qu'au lieu d'en prioriser un, il essaie d'attribuer les deux et échoue logiquement.

il y a 40 minutes, vick a dit :

time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: configuration key not expected: storage.lstorage"

Là ça sent plus la faute de frappe, je n'ai pas de paramètre lstorage dans mon fichier de configuration.

Envoie-moi par MP un pastebin avec le contenu de ton fichier de configuration je vais y regarder.

0
vick Rookie

vick

Posté(e)
Posté(e)
il y a 48 minutes, .Shad. a dit :

 

Envoie-moi par MP un pastebin avec le contenu de ton fichier de configuration je vais y regarder.

Hello merci @.Shad.pour ta réponse aussi rapide, j ai effectiffement corrigé l'erreur dans storage, j ai enleve le mot de passe JWD qui est aussi normalement dans le dossier  fichiers, si j ai bien compris . J'utilise aussi Myphp de mon DSM ou j' ai créé un nouvelle utilisateur.Mais bon il y a encore des erreurs.

Je t' envoie mon fichier configuration en MP (j 'ai remplacé le nom de domaine)

 

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.