authentik SSO/IdP на auth.dttb.ru (LXC 144): пилот OIDC Open WebUI+Gitea, обязательная 2FA

- LXC 144 Debian12/Docker, server+worker+postgres (2026.5.3, без Redis) - NPM #41 auth.dttb.ru, LE cert id133, публичная A-запись Spaceweb - OIDC: Open WebUI (chat) + Gitea (git, ROOT_URL→https) - 2FA обязательна на IdP (TOTP/WebAuthn force-enroll) - принцип «2FA через нужную дверь» (OIDC, не forward-auth) - критичную инфру не трогали; остался ручной enrollment Олега Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-26 19:17:01 +03:00
parent 15ecf46a4a
commit d39ddb989d
5 changed files with 124 additions and 5 deletions
--- a/projects/dttb/proxmox-inventory.md
+++ b/projects/dttb/proxmox-inventory.md
@@ -9,7 +9,7 @@ tags: [dttb, proxmox]
 > **Основная нода:** pve (10.0.0.250) — описана ниже
 > **Вторая нода (standalone):** pve (10.0.0.147) — отдельный хост i3-2100/15GB/SSD+1.8TB HDD, см. [[proxmox-pve-147]] (VM 100 ZimaOS, LXC 101 второй NPM)
 >
-> Последнее обновление: 2026-06-23 (добавлен LXC 143 amnezia-panel — Amnezia Web Panel, control-plane VPN-нод)
+> Последнее обновление: 2026-06-26 (добавлен LXC 144 authentik — SSO/IdP, auth.dttb.ru)

 ---

@@ -18,8 +18,8 @@ tags: [dttb, proxmox]
 | Тип | Всего | Запущено | Остановлено |
 |-----|-------|----------|-------------|
 | QEMU VM | 15 | 5 | 10 |
-| LXC | 25 | 15 | 10 |
-| **Итого** | **40** | **20** | **20** |
+| LXC | 26 | 16 | 10 |
+| **Итого** | **41** | **21** | **20** |

 ---

@@ -262,6 +262,22 @@ tags: [dttb, proxmox]

 ---

+### LXC 144 — authentik (SSO/IdP)
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| IP | 10.0.0.144 (LAN, статика, nameserver 1.1.1.1) |
+| ОС/рантайм | Debian 12, unprivileged + nesting/keyctl, Docker 29.6 + compose |
+| Ресурсы | 2 vCPU / 4 GB / swap 2 GB / 20 GB (rootfs на `work`, local-lvm забит 94%) |
+| Стек | `/opt/authentik/` — `ghcr.io/goauthentik/server:2026.5.3`: **server + worker + postgresql:16** (⚠️ 2026.5.3 без Redis, postgres-backed cache) |
+| Веб | **https://auth.dttb.ru** (NPM #41 → `:9000`, LE cert id133, Force SSL+HTTP/2+WSS) — публично + LAN/NetBird |
+| Авторизация | admin `akadmin` (пароль + API-токен `claude-bootstrap` в credentials). **Обязательная 2FA** (TOTP/WebAuthn) на уровне IdP |
+| Пилот OIDC | Open WebUI (chat.dttb.ru), Gitea (git.dttb.ru). Критичную инфру (Proxmox/NPM/Vaultwarden/Nextcloud) НЕ трогали |
+| Tags | sso, idp, security |
+| Назначение | **authentik — SSO/IdP для home lab.** OIDC для совместимых сервисов + forward-auth для голых панелей. AVX не требует. См. [[../../decisions/2026-06-26-authentik-sso-deploy]] |
+
+---
+
 ## 🔴 Остановленные LXC

 | VMID | Имя | Назначение |