[TUTO] [Docker] Authelia : serveur d'authentification

[Taribam]

Bonjour,

Le tuto est très clair, et contrairement aux apparences, plutôt rapide à mettre en place quand on a suivi "certificat SSL et reverse proxy via docker" par le même auteur. La seule "difficulté" étant : ne pas se tromper dans les espaces du configuration.yml" 😪

[CHILLY996]

Bonjour,

 

Avez-vous réussi à mettre le mot de passe SMTP dans un fichier avec l'option AUTHELIA_NOTIFIER_SMTP_PASSWORD_FILE dans le docker compose ?

Je mets mon mot de passe dans le fichier en clair et j'ai une erreur de connexion SMTP. Il faut l'encoder ?

Je n'ai pas trouvé d'info.

Si quelqu'un a réussi ... Snon avec le mot de passe en clair de le fichier configuration.yml ca fonctionne.

 

Une autre question, j'ai 3 sous domaines avec une authentification 2 facteurs. Une fois connecté sur un des sous domaines en 2 facteurs, les autres ne demandent rien, c'est normal ?

Modifié le 27 décembre 2021 par CHILLY996

[.Shad.]

Salut,

Il y a 13 heures, CHILLY996 a dit :

Avez-vous réussi à mettre le mot de passe SMTP dans un fichier avec l'option AUTHELIA_NOTIFIER_SMTP_PASSWORD_FILE dans le docker compose ?

Je mets mon mot de passe dans le fichier en clair et j'ai une erreur de connexion SMTP. Il faut l'encoder ?

Je n'ai pas trouvé d'info.

Si quelqu'un a réussi ... Snon avec le mot de passe en clair de le fichier configuration.yml ca fonctionne.

Chez moi pas de souci :

Tu peux :

• vérifier qu'il n'y a pas une tabulation parasite au niveau du champ password
• vérifier que le chemin indiqué pour AUTHELIA_NOTIFIER_SMTP_PASSWORD_FILE est le bon dans le fichier compose.
• vérifier que les droits en lecture sont OK

Il y a 13 heures, CHILLY996 a dit :

Une autre question, j'ai 3 sous domaines avec une authentification 2 facteurs. Une fois connecté sur un des sous domaines en 2 facteurs, les autres ne demandent rien, c'est normal ?

https://www.authelia.com/docs/configuration/session/
A priori c'est au niveau du paramètre samesite que tu règles ça. Par défaut c'est le fonctionnement normal.

[CHILLY996]

@.shad.

OK pour la doc sur la session; je vais la mettre en œuvre en passant de lax à strict.

Donc si je comprends bien le mot de passe SMTP est en clair dans le fichier smtp dont le chemin est indiqué par AUTHELIA_NOTIFIER_SMTP_PASSWORD_FILE. Bon ca ne marchait pas hier, je vais retester aujourd'hui.

[.Shad.]

Oui, c'est un bête fichier, auquel tu essaies par contre d'appliquer des permissions strictes, ça évite d'avoir le mot de passe dans le fichier de configuration directement.

Comme pour les autres secrets en fait. 😉 

[CHILLY996]

@.Shad.

Du coup c'était un problème de droits, il était en -rw-r-----, maintenant il est bien en -rw-rw----.

Par contre, une fois authelia lancé, le répertoire cong et tout ce qui est en dessous est en root:root chez moi. C'est authelia qui change l'appartenance.

C'est pareil chez vous ?

C'est vrai qu'il n'y a pas de UID et de GID dans le docker compose.

EDIT :

Le fait de passer de lax à strict ne change rien ... ce n'est pas grave.

Modifié le 28 décembre 2021 par CHILLY996
PAssge de lax à strict

[.Shad.]

On peut raisonnablement penser que si tu te connectes en 2FA avec un périphérique, tu peux accéder à tous les autres sites nécessitant le même niveau de sécurité, ça ne me choque pas.

Sinon dans la partie session, tu peux ajuster la durée du cookie d'authentification, etc...

Oui c'est root c'est normal.

[CHILLY996]

Bonsoir,

Peut on avoir 2 domaines différents sur 2 machines différentes pas dans le même réseau avec AUTHELIA ?

J'ai des soucis pour configurer une deuxième machine ...

[.Shad.]

Authelia ne peut couvrir qu'un seul NDD, mais tu peux avoir deux Authelia du coup.

[CHILLY996]

 

@.Shad.

Bon alors c'est mort car j'ai mon NAS et un serveur distant avec 2 noms de domaine différents.

Je voulais mettre authelia sur mon nas et sur mon serveur distant avec chacun un nom de domaine (pour les certificats).

[.Shad.]

Ben c'est ce que j'ai, un authelia pour mon domaine local, et un authelia pour mon domaine pour mon VPS. Hébergés chacun sur des machines différentes. J'ai dû mal comprendre ta question ?

Modifié le 28 décembre 2021 par .Shad.

[CHILLY996]

Comme j'ai des soucis avec l'installation en local sur le PI3 je me suis dit qu'il y avait peut-être une limite.

Je vais tout reprendre une nouvelle fois.

Désolé du dérangement.

[.Shad.]

Fin de semaine au besoin on peut se faire un vocal et TeamViewer.

[CHILLY996]

Je vais tout reprendre au calme demain matin. Ca fait 3 install différentes et sur le serveur distant authelia a marché du premier coup. Sur le Pi le reverse proxy fonctionne, le filtra IP fonctionne mais c'est authelia qui ne fonctionne pas. Faudrait que je passe les logs en debug ...

[CHILLY996]

@Swagme Bonsoir, avez-vous réussi finalement avec authelia sur le PI ? J'ai exactement les mêmes problèmes. Le reverse proxy (SWAG) fonctionne sans authelia. Dès que j'active authelia, erreur 500 ...

J'ai déjà installé SWAG et authelia sur un serveur distant et je n'ai rencontré aucun problème.

[CHILLY996]

Bonjour,

 

Quelqu'un a essayé de mettre authelia pour accéder à bitwarden ?

J'ai une erreur  sur l'extension chrome et mon aplli android se ferme.

Y-a-t-il des paramètres spéciaux à mettre dans le fichier bitwarden.subdomain.conf dans SWAG ?

 

EDIT :

Du coup, j'ai finalement activé le code TOTP directement dans bitwarden pour éviter tous les soucis ...

Modifié le 3 janvier 2022 par CHILLY996
Changement de type de code TOTP

[.Shad.]

Le 03/01/2022 à 17:30, CHILLY996 a dit :

EDIT :

Du coup, j'ai finalement activé le code TOTP directement dans bitwarden pour éviter tous les soucis ...

Oui Bitwarden a déjà un bon système de sécurité, aucune raison de rajouter une couche. 😉 
Tu as DuoAPI qui est bien aussi, je l'utilise  pour Authelia.

Modifié le 6 janvier 2022 par .Shad.

[CHILLY996]

@.Shad. Ce n'est pas payant DuoAPI ?

[.Shad.]

Il y a une version gratuite, jusqu'à 10 utilisateurs.
Seul inconvénient, la version gratuite n'inclut pas la vérification d'empreinte digitale sur mobile lors d'une notification de connexion.

https://help.duo.com/s/article/3653?language=en_US

Modifié le 4 janvier 2022 par .Shad.

[CHILLY996]

Effectivement c'est dommage, mais bon  ca reste gratuit. Je verrai pour tester. Pour l'instant ca fonctionne en TOTP mais j'y jetterai un oeil pour la mise en place pour tester.

[pateretwo]

Hello les gens

 

attention changement dans l'image il faut maintenant definir une clé d'encryption

 

https://github.com/authelia/authelia/issues/2680

(et pour les boulets comme moi qui ont activé watchtower en prod ....)

[.Shad.]

@pateretwo Salut et merci pour la remarque, en fait j'avais déjà corrigé quelques versions avant et je ne sais pas pourquoi j'avais zappé de mettre à jour le tutoriel, le mal est réparé. 🙂 

Pour info, l'équipe de développement d'Authelia reconnaît que ce changement aurait dû induire une upgrade majeure (v5) vu que c'est un "breaking change".

Ce n'est pas un mal d'utiliser watchtower, même en prod, car le retour en arrière est simplissime, tu modifie simplement de latest à une version spécifique et c'est reparti (sauf si des paquets de gens dépendent de toi évidemment...).

Pour info je vais bientôt ajouter la méthode de connexion via DuoAPI, simplement je l'ai fait y a longtemps sans prendre note 😄 je vais bientôt le mettre pour ma femme ce sera l'occasion de décortiquer la méthode.

Modifié le 15 janvier 2022 par .Shad.

[vick]

Bonjour, 
Tout d'abord merci pour ce tuto @.Shad.!
J'ai essayé depuis plusieurs jours malheureusement, les logs m'indiquent de nombreuses erreurs.
J'avoue, je ne suis plutôt pas un néophyte.
Déjà, puis-je passer par les revers proxy du DSM (synology) ? Aujourd'hui, mais reverse proxy passe par le DSM, même si j'ai installé SWAG.
Comme je ne vois pas où est la solution, quelqu'un aurait il la gentillesse de m'expliquer ou j'ai fauté.
Merci à vous 

 

"time="2022-08-09T20:47:55+02:00" level=warning msg="Configuration: configuration key 'authentication_backend.disable_reset_password' is deprecated in 4.36.0 and has been replaced by 'authentication_backend.password_reset.disable': this has been automatically mapped for you but you will need to adjust your configuration to remove this message"
time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: secrets: error loading secret into key 'jwt_secret': it's already defined in other configuration sources"
time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: secrets: error loading secret into key 'notifier.smtp.password': it's already defined in other configuration sources"
time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: configuration key not expected: storage.lstorage"
time="2022-08-09T20:47:55+02:00" level=fatal msg="Can't continue due to the errors loading the configuration"
time="2022-08-09T20:48:02+02:00" level=warning msg="Configuration: configuration key 'authentication_backend.disable_reset_password' is deprecated in 4.36.0 and has been replaced by 'authentication_backend.password_reset.disable': this has been automatically mapped for you but you will need to adjust your configuration to remove this message"
time="2022-08-09T20:48:02+02:00" level=error msg="Configuration: secrets: error loading secret into key 'jwt_secret': it's already defined in other configuration sources"

[.Shad.]

il y a 37 minutes, vick a dit :

Déjà, puis-je passer par les revers proxy du DSM (synology) ? Aujourd'hui, mais reverse proxy passe par le DSM, même si j'ai installé SWAG.

Tu peux très bien continuer à utiliser celui de DSM tant que tu veux, il suffit que tes enregistrements de proxy inversé pointent vers le NAS au lieu de SWAG.

Pour tes erreurs :

il y a 38 minutes, vick a dit :

time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: secrets: error loading secret into key 'jwt_secret': it's already defined in other configuration sources"

il y a 39 minutes, vick a dit :

time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: secrets: error loading secret into key 'notifier.smtp.password': it's already defined in other configuration sources"

Le plus probable est que dans le fichier de configuration d'Authelia tu as laissé le mot de passe par défaut, et que tu le précises également via le fichier externe comme je le préconise. Il se peut qu'au lieu d'en prioriser un, il essaie d'attribuer les deux et échoue logiquement.

il y a 40 minutes, vick a dit :

time="2022-08-09T20:47:55+02:00" level=error msg="Configuration: configuration key not expected: storage.lstorage"

Là ça sent plus la faute de frappe, je n'ai pas de paramètre lstorage dans mon fichier de configuration.

Envoie-moi par MP un pastebin avec le contenu de ton fichier de configuration je vais y regarder.

[vick]

il y a 48 minutes, .Shad. a dit :

 

Envoie-moi par MP un pastebin avec le contenu de ton fichier de configuration je vais y regarder.

Hello merci @.Shad.pour ta réponse aussi rapide, j ai effectiffement corrigé l'erreur dans storage, j ai enleve le mot de passe JWD qui est aussi normalement dans le dossier  fichiers, si j ai bien compris . J'utilise aussi Myphp de mon DSM ou j' ai créé un nouvelle utilisateur.Mais bon il y a encore des erreurs.

Je t' envoie mon fichier configuration en MP (j 'ai remplacé le nom de domaine)