Proxmox Solution d'authentification pour app selhost

T

Thomas69

Padawan
8 Novembre 2023
79
4
8
Metz
Bonjour à tous,


Je suis sur un serveur Proxmox, avec principalement des conteneurs Debian et Docker Compose. J'y ai plusieurs applications auto-hébergées telles que Jellyfin, Mealie, Kavita ou potentiellement Calibre (encore à définir), ainsi que du SMB ou filebrowser.


Mon objectif est de centraliser la gestion des utilisateurs (moins de 6) un peu à la manière d'un LDAP. Le principal souci que je rencontre est que OpenLDAP me semble un peu obsolète et il semble y avoir des problèmes de compatibilité avec certaines applications ( Mealie et jellyfin pas de problème par contre Kavita, Calibre ou encore SMB c'est un enfer).


Est-ce qu'il existe une solution auto-hébergée permettant de centraliser les utilisateurs, de connecter toutes mes applications et d'assurer que tous les utilisateurs partagent le même mot de passe sur chaque application, le tout en restant en local (connexion à distance via VPN) ? Je préférerais éviter l'utilisation d'un reverse proxy ou proxy, car je ne suis pas trop familier avec ces technologies.


PS : Chaque serveur a sa propre adresse IP et, pour les containers Docker, des ports différents.


Merci d'avance pour vos retours !
 
Hello, il existe des applications telles qu'Authelia, Authentik, keycloak qui permettent de faire de l'authentification.... Mais je crois que pour la plupart elles viennent s'interposer entre ton application et le navigateur client, et ceci par le biais d'un reverse proxy.
Ceci dit elles peuvent bloquer toute autre demande que celles provenant du réseau local.
 
En effet j'avais déjà entendu parler et testé Authelia, Authentik et keycloak mais le problème pour la plus part il faut le faire fonctionner avec un reverse proxy
 
Le souci c'est que sans l'authentification intermédiaire par reverse proxy, il faudrait que ce soit tes applications qui aient chacune un connecteur, une section dédiée pour "externaliser" l'authentification à un autre service.
Et là, c'est propre aux devs de chaque app. Donc quasi impossible de demander ces features à chaque dev
 
Oui après avoir chercher et étudier la question je vais partir sur l'utilisation d'un reverse proxy, mais j'ai maintenant d'autres questions.
  • Pour une utilisation entièrement en local ai-je besoins d'un DNS local (pi-hole) pour donner à chaque serveur selhost un certificat ssl ( qui sera autosigné je pense) et un nom de domaine local ?
  • n'étant pas trop former sur un pure reverse proxy nginx, Nginx proxy manager peu t’il répondre à mes besoins ?
Merci encore pour vos réponses ;D
 
Si tu veux utiliser un nom de domaine que tu achètes (un .fr doit coûter 7 balles par an), pas besoin d'un DNS local, mais tu auras besoin d'une connexion internet pour résoudre le nom de domaine. Cf aujourd'hui la panne de Bouygues, tu n'avais pas accès à ton matériel par ce biais même en local.
Si tu utilises un DNS local, tu pourras "réécrire" la requête DNS pour la rediriger vers ton reverse proxy en local, donc requête plus rapide et ça fonctionne même sans le net (testé et approuvé).
Si tu n'achètes pas un nom de domaine, là je t'avouerai que ça dépasse mes connaissances.
Pour le certificat, un seul sur le nom de domaine suffit, et des reverse proxy tel que linuxserver swag le gère très bien par le biais de let's encrypt (autorité de certification mondialement connue).

Pour ton point 2, je n'ai pas testé nginx proxy manager mais j'en ai lu du bien.
Tu as aussi linuxserver swag, pour lequel tu as un tuto rédigé par @EVO sur ce forum, et ça fait très bien le job.

Pour te donner un ordre d'idée, ma config actuelle, sachant que j'ai besoin d'avoir un accès extérieur (pour Nextcloud, jellyfin, Homeassistant etc)
Nom de domaine .fr acheté chez OVH
Reverse proxy swag avec authelia en authentification
Authelia avec 2FA sur les services qui n'ont pas d'authentification ou une trop light à mon goût
Blocage géographique au niveau du reverse proxy
Certificat let's encrypt géré automatiquement par swag, avec un wildcard OVH qui permet de couvrir automatiquement tout nouvel ajout
Adguard home pour le DNS local qui bloque la pub et redirige localement le traffic vers mon ndd (ndd = nom de domaine)
Ça me donne du nextcloud.nddovh.fr, homeassistant.nddovh.fr, etc
Et ça tient le choc en cas de coupure internet suprise (coucou Bouygues)
 
Regarde du côté de YunoHost, si les applications qui t'intéressent sont dans son magasin, cela pourrait être une solution. Une fois authentifiés tes users auraient accès aux applications que tu leurs accorde. A tester ?
 
  • J'aime
Réactions: Nincha
Merci pour vos réponse
Je vais pour l'instant me pencher sur la question de yunohost en espérant que ça réponde à ce que j'ai besoins
Et après je m’intéresserai au reverse proxy,
"De ce que j'en ai compris le reverse proxy permet une couche d'authentification par dessus l'application" n’hésitez pas à me corriger
Mais effectivement je veux absolument rester en local
Je vous tient au courant dans mes avancées
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas