authentik SSO/IdP на auth.dttb.ru (LXC 144): пилот OIDC Open WebUI+Gitea, обязательная 2FA

- LXC 144 Debian12/Docker, server+worker+postgres (2026.5.3, без Redis) - NPM #41 auth.dttb.ru, LE cert id133, публичная A-запись Spaceweb - OIDC: Open WebUI (chat) + Gitea (git, ROOT_URL→https) - 2FA обязательна на IdP (TOTP/WebAuthn force-enroll) - принцип «2FA через нужную дверь» (OIDC, не forward-auth) - критичную инфру не трогали; остался ручной enrollment Олега Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-26 19:17:01 +03:00
parent 15ecf46a4a
commit d39ddb989d
5 changed files with 124 additions and 5 deletions
--- a/projects/dttb/credentials.md
+++ b/projects/dttb/credentials.md
@@ -156,6 +156,20 @@ cd /var/lib/rustdesk-api && /usr/bin/rustdesk-api reset-admin-pwd <new-pw>
 | systemd | `hermes-dashboard.service` = `hermes dashboard --host 0.0.0.0 --port 9119 --skip-build --no-open` |
 | ⚠️ Грабля | **БЕЗ `--insecure`!** `--insecure` отключает cookie-gate (включает легаси `_SESSION_TOKEN`) → login проходит, но всё внутри 401. Бинд `0.0.0.0` без `--insecure` = `auth_required=True` + принимает любой Host (для NPM-домена). См. [[../../decisions/2026-06-18-german-hermes-agent-deploy]] |

+## authentik SSO/IdP (LXC 144)
+
+| Параметр | Значение |
+|----------|----------|
+| URL | https://auth.dttb.ru (NPM #41 → 10.0.0.144:9000, LE cert id133) |
+| LXC root | `10.0.0.144` — root / `Authentik!2026-dttb` (LAN only, без WAN SSH) |
+| Admin панель | `akadmin` / `Auth0leg!2026-dttb` (bootstrap-пароль). **2FA обязательна** — при первом входе предложит TOTP/passkey |
+| Email admin | `it5870@yandex.ru` |
+| API-токен | `claude-bootstrap` = `z53t4jfarH69EBYuJJbY0olaak79Sf67W1EqVCCM6NVHXbQDAAuyXHfVP4VZ` (не истекает, минует login-flow — для управления/recovery) |
+| Стек | `/opt/authentik/` — `.env` хранит `PG_PASS` и `AUTHENTIK_SECRET_KEY` (сгенерированы рандомом, бэкап только в `.env` контейнера) |
+| OIDC Open WebUI | app `open-webui`, client_id `1G7PLkPUSCEK4EFyULcDbqBnADrRNnswXOHFOeEF`, secret `2vpQldlISZDGyQaTQeVZ070XkA879a0TaMCeYIPQaA0ln116sQqJNzj9AjSMjvTz4yFTXw89V0wGb5yMP1CfqVCE0UehcvI9RsgCtjrFaSp0lrDD1NCwp9SrDGtfcF2A` |
+| OIDC Gitea | app `gitea`, client_id `AYl8jNZvJF7jh4c2nPhm1nRtD2XwkUK0DPwnvQ9e`, secret `UwsqG97S5REcuSgQLFQUHGp0JDKScR7fSIuIminNaZoVKca2JQzbb0PebePeBeaQhFKPjJOlu3kEmEEzod0oGtIArHKH492SnUBMO5aa5FgnAGjGzm9BB4RRYJo7wEMQ` |
+| Recovery | сброс admin-пароля `ak change_password akadmin`; снять обяз. 2FA — PATCH стейджа `f3808685-…` `not_configured_action=skip` через API-токен. См. [[../../decisions/2026-06-26-authentik-sso-deploy]] |
+
 ## SSH-ключи и доступы

 | Хост | Порт | Метод |