sso+mfa[authelia
精选评测好文
创作立场声明:仅个人折腾
这次又是翻的人仰马翻。原因和dns一样。那群 程序员又不把话说全。
介绍
SSO
先介绍下什么是sso(SingleSignOn)。就是你有很多服务。然后访问服务需要登陆对不。但是每更换一个服务就要重新输入账号密码登陆是不是很繁琐。那干脆把所有服务的登陆集中到同一个授权界面。那岂不是登陆一次就能访问全部服务了。单点登陆(sso)就是这样。举个不恰当的例子:租了一层楼当办公室。这层楼有一个大门。用传统钥匙锁。开起来要用钥匙。
NAS存储
所以要给开门的人配钥匙。现在把传统钥匙锁换成电子锁。支持指纹解锁。已授权人员用指纹就能开锁了。是不是方便很多。虽然这例子的确不恰当。又不是所有员工都有大门钥匙。因为只有一种验证方式。那被突破了岂不是全完了。所以才出现了下面的mfa。嘛。我这只从井底爬上来跳进大海的青蛙实在是知识库欠乏。想不到更合适的了。还是画图来解释更清楚。 SSO听起来是不是很美好。那为什么翻车了。因为那群 程序员没说要服务支持了才能sso。他们把没有自带登陆界面的几个服务拿出来做演示。当然可以sso啦。 换jellyfin、qinglong、pihole这些不支持的试试。只是从一个登陆界面换到另一个登陆界面而已。虽然sso登陆过后就不用再验证了。我访问一个服务要登陆大于一次那还能叫sso吗。MFA
再介绍下什么是mfa(Multi-Factor Authentication)。密码就是一层验证。所以算是1fa。那再加一层验证就成了2fa。再加一层验证就成了3fa。以此类推。验证不局限于密码。还有ldap、saml、one time password、hardware authentication。等等。这些验证和密码验证不在同个地方(网页)。所以99.9%情况下。第三方不知道下一步在哪进行。就算知道了还要继续攻击下一个验证的地方。要把所有验证都通过才算是一次成功登陆。所以被爆破风险就减小了很多。其实各位都用过mfa的。登陆微信要短信验证码。登陆支付宝要短信验证码。登陆京东要短信验证码。没错。短信验证码就是一层验证。所以我是怎么翻车的。这就要从头说起了。
authelia
我不是在docker搭了web服务吗。虽然那些服务自带登陆界面。但是我怕被暴力破解。然后又碰巧在油管看到关于authelia的介绍。知道可以自建授权服务。用多重验证保护服务。 对了traefik还可以自己给没登陆界面的服务添加BasicAuth。这在traefik官网有介绍。我很懒所以没写。
我看完介绍就去搭了。也不是很难。看看authelia官网就能明白了。
安装和使用
首先要users_database.yml用来储存用户名和密码。然后准备configuration.yml用来配置authelia。
先来users_database.yml。要用这个命令创建密码:
然后把hash后面的东西都复制下来。我写了几个当示范。写的email也是假的:
用记事本把!全部替换成空格。下同。
然后就是configuration.yml。这文件是要重启才生效。初次启动authelia时会自己生成。所以只要改改就能用了。改完重启容器就好。不要被这么长的东西吓到。只需要改一部分的就行了。唯一需要自己会写的只有Access control。这官网写的很详细。我写了几个当示范了。参照官网看一下就能懂。因为authelia目前只支持单个域名。所以authelia和所有服务都需要在那个域名中。例如authelia在auth.lastview.duckdns.org。jellyfin在jellyfin.lastview.duckdns.org。同理在session的cookie域名就是lastview.duckdns.org了。看一看。了解一下就好:
剩下的就jwt_secret填下。default_redirection_url填下。default_2fa_method改成totp。session domain填:子域名.duckdns.org。secret填下。encryption_key填下。Storage Provider选择local。就这么多需要改的。如果你们真的要用。记得先去官网看完configuration再弄。
然后就是docker-compose了:
然后是rp- authelia.yml:
没错。为了在外网也能用。
NAS存储
我搞了个新entryPoint。然后authelia就能从https://auth.lastview.duckdns.org:666访问了。同时其它服务在进行mfa验证时也会跳转到666端口。例如https://nginx.lastview.duckdns.org:666跳转到https://auth.lastview.duckdns.org:666/api/verify?rd=https%3A%2F%2Fnginx.lastview.duckdns.org:666%2F。要让服务mfa就要在Access Control写好。然后在各服务的middlewares加- auth。像上面那样。成功跳转会出现这页面
吐槽
我成功的在内网给nginx测试了mfa。然后又在外网成功测试了。前面用的notifier是file。然后就应该正式换成SMTP了。但是啊。我搞不定SMTP。完全没学过。又不知道去哪找相关教程。 然后换qinglong。正如开头所说。没办法sso。然后jellyfin之类的不是有app支持吗。这类服务除非支持。要不然不能给它们多一层验证。要不然在app端会无法登陆。然后更坑爹的是2fa。authelia提供了3给方案。但是完全依靠第三方服务。我可是花大量时间去测试的。 所以这自建授权服务完全就是脱裤子放屁。sso没法应用于全部服务。2fa依赖第三方服务。要第三方服务我直接找google不就行了吗。
总结:authelia is useless to me.
下一篇。翻车的fail2ban。
附件
traefik.yml for https
docker-compose.yml for traefik-https
rp-traefik.yml for https
docker-compose.yml for nginx
rp-nginx.yml for https
rp-portainer.yml for https
rp-pihole.yml for https
其他人还看了
杀疯了!两千元档,N5105、双M2、4盘位、8G内存,绿联DX4600使用体验与评测
郑重声明:本文“sso+mfa[authelia”,https://nmgjrty.com/cunchusb_549287.html内容,由空调救我命提供发布,请自行判断内容优劣。
- 全部评论(0)
- 内存卡怎么选?详解TF、SD卡参数标准带你避坑!
- 包括物理黑群迁移、升级、硬解等
- 绿联DX4600
- 杀疯了!两千元档,N5105、双M2、4盘位、8G内存,绿联DX4600使用体验与评测
- 群晖安装迅雷下载套件
- DX4600
- ESXI丨VMwareWorkstationPro
- 非专业对ikuai和openwrt软交换性能测试
- 遇强越强的绿联私有云DX4600,可兼顾性能与易用
- 秒速快传、稳定可靠,奥睿科快闪u盘体验
- 不许有人不知道!2022年多次复购和新拔草成功的10件品质好物
- C快闪U盘更适合你,小巧而高速
- NAS的(unraid)
- N5105软路由跑不满25G,软路由还是要自己配还能兼容HTPC和客厅游戏机
- 为什么我们需要docker
- 初上手及购买建议
最新更新
推荐阅读
猜你喜欢
- [NAS存储]docke安装typecho导航主题webstack
- [NAS存储]群晖硬盘架修复手记
- [NAS存储]ZFSmirror磁盘分区损坏后的恢复
- [NAS存储]网络存储篇
- 4K摄影伴侣,同价位最具性价比的雷克沙1800XSD卡
- 京东百元补贴给力!5毛1G的三星EVO高速存储卡
- 海康威视X304金属64GU盘
- 下载器实现硬链接搭建教程
- 希捷计划2026年推50TB机械硬盘:两大绝技 速度翻倍
- 用个10年没问题,影驰战将SSD耐久性折磨测试(3/5最终更新)
- 2022年固态硬盘主控产能缺口高达3成,28nm制程最吃紧
- 傲腾内存价格流出:每GB最低35元,最高容量512GB
- 三星量产eMRAM存储器:比eFlash快1000倍,功耗更低
- 将Windows电脑作为伪NAS,共享视频给局域网内的手机/平板/电视观看
- 为radarr/sonarr设置一个实用的前端页面:JellySeerr项目安装与使用