authentik SSO/IdP на auth.dttb.ru (LXC 144): пилот OIDC Open WebUI+Gitea, обязательная 2FA

- LXC 144 Debian12/Docker, server+worker+postgres (2026.5.3, без Redis)
- NPM #41 auth.dttb.ru, LE cert id133, публичная A-запись Spaceweb
- OIDC: Open WebUI (chat) + Gitea (git, ROOT_URL→https)
- 2FA обязательна на IdP (TOTP/WebAuthn force-enroll)
- принцип «2FA через нужную дверь» (OIDC, не forward-auth)
- критичную инфру не трогали; остался ручной enrollment Олега

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

projects/dttb/spaceweb-dns.md

@@ -13,6 +13,9 @@ tags: [dttb, dns]
 - editMain params: {domain, action:"add"/"edit", name, type:"A", value, prefix:"", index(edit)}
 - editMx params: {domain, subDomain:"", action:"add"/"edit", priority, value:"host.", index(edit)}
 - editTxt params: {domain, action:"add"/"edit", subDomain:"@"/..., value, index(edit)}
+- **Чтение зоны: метод `info`** params {domain} (опц. type:"A") → список записей name/value/index/category (zoneMain|subdom). Методы JSON-RPC: editMain, editMx, editTxt, info. Читать перед add (взять index, не угадывать).
+- Добавить одну A-запись поддомена: `editMain {action:"add", name:"<sub>", type:"A", value:"176.62.183.186", prefix:""}` → result:true. Безопасно (ломает зону только цикл editMain). Так добавлен auth.dttb.ru 2026-06-26.
+- ⚠️ LE HTTP-01 после add: подожди истечения negative-cache (SOA minimum dttb.ru = 600с) — иначе certbot ловит NXDOMAIN (LE кеширует его ~10 мин от первой попытки).
 - Капча после 2-3 запросов подряд — новая сессия сбрасывает
 
 <!-- AUTO-SYNC FROM MEMORY.MD - DO NOT EDIT BELOW -->