Selbstgehostete Dienste mit Authentik sichern

How to
, , ,
1

Um Zwei-Faktor-Authentifizierung in Immich zu bekommen, muss man OAuth Provider verwenden, wie z.B. Authentik.

Dafür sind ein paar Schritte nötig.

1. in Docker Authentik installieren

  • ich habe dafür Portainer und den “Web Editor” verwendet
    Docker Compose installation | authentik

  • hier habe ich noch die jeweiligen Container selber benannt und die Zeilen die auf eine .env Datei hinweisen auskommentiert, weil ich die env Variablen in Portainer darunter hinzugefügt habe und es sonst nicht funktioniert

  • auch habe ich meinen SMTP Zugang verwendet und wie in der Anleitung beschrieben Passwörter für die Datenbank erstellt

  • zudem habe ich (in der Docker-compose config im Webeditor) noch die Ports angepasst, da diese sich mit andern Docker Containern von mir überschnitten hätten

  • dann müsstet ihr über https://<IP oder Hostname eures Authentik Servers>:9000/if/flow/initial-setup/ oder angepasstem Port) das erste mal das Admin Konto einrichten können

  • über Directory > User könnt ihr dann neue Benutzer hinzufügen, z.B. einen neuen Admin Account

  • diesen könnt ihr über MFA absicher und dann den Standard Admin-Account deaktivieren

2. über Nginx Proxy Manager (o.a.) Authentik erreichbar machen

  • hier wie gewohnt einen Eintrag bei eurem DNS-Anbieter hinterlegen und in NPM die jeweiligen Daten eingeben
  • alles unter Verschlüsselung anwählen, bei Erweitert sollte nichts einzutragen sein

3. Authentik für Immich einrichten

  • in Authentik unter eurem Admin Konto bei Outposts und Erweiterte Konfiguration gegebenenfalls noch bei authentik_host eure eben eingerichtete öffentliche Domain hinterlegen, falls hier noch die lokale Adresse steht

  • allgemein dann unter Applications > Applications > Mit Provider anlegen könnt ihr einen Dienst hinzufügen

  • für Immich steht das hier beschrieben: Integrate with Immich | authentik

  • in Immich selber müsst ihr dann als Admin bei den Oauth Einstellungen noch ein paar URIs und Schnipsel einfügen und auswählen, ob OAuth ausschließlich oder zusätzlich zu Identifizierung verwendet werden soll

Der Prozess, sofern Immich, Nginx (oder natürlich ein anderer) Proxy Manager und Authentik bereits korrekt eingerichtet sind:

Über diese Methode schaltet sich Authentik nicht davor, sondern es ist direkt in Immich als Anmeldungsmethode eingebunden.

image
image587×398 44.7 KB

Ansonsten muss diese Variante ausgewählt werden, wenn Authentik sich einfach erstmal davor schalten soll. Das ist aber eher bei Web-Apps praktisch, die selber keine Zugänge haben, da man sonst beide Zugänge eingeben muss.

1 „Gefällt mir“