Volle Kontrolle mit deinem eigenen VPS von easyname
Mit einem VPS von easyname hast du volle Kontrolle über deinen Server – flexibel, skalierbar und umweltbewusst betrieben in ISO-zertifizierten Rechenzentren in Österreich. Ideal für deine Anwendungen, Projekte und maximale Performance.
Hinweis
Einige Screenshots zeigen das Backend unseres Schwesterunternehmens dogado. Die gezeigten Schritte können jedoch auch im easyname-Backend durchgeführt werden.
0. Überblick
- Verwendetes System: Debian 11 64 bit
- Genutzter User: Ich nehme alles als „root“ vor
- Zeitdauer: ca. 10 Minuten
- Schwierigkeit: Einfach. Nur Code kopieren ?
- Besonderheiten:
- Grundlage ist folgende Anleitung: Traefik Reverseproxy auf VPS installieren. Diese Anleitung muss zuerst ausgeführt werden.
- Die Installation von Docker / Docker Compose wird hier vorausgesetzt.
1. Authelia installieren
1.1 Einleitung
Authelia ist ein open source Authentication Server. Er ermöglicht es verschiedene Dienste (z.B. Webseite) zusätzlich mit einem Passwort / Zwei-Faktor-Authentifizierung abzusichern. Authelia lässt sich mit Traefik kombinieren und kann daher einfach eingesetzt werden.
1.2 Infos zu yml Dateien
Bei yml Dateien ist es sehr wichtig, dass die Zeilen alle richtig eingerückt sind. Die Zeilen MÜSSEN immer mit der Leertaste eingerückt werden. Es dürfen KEINE Tabs enthalten sein. Du kannst den nachfolgenden Code immer online „überprüfen“ lassen. Die meisten Fehler entstehen nämlich durch die falsche Formatierung. Ein Dienst zum Überprüfen ist zum Beispiel: https://codebeautify.org/yaml-validator
1.3 Vorbereitung
Diese Anleitung basiert auf dem aktuellen Debian 10 Betriebssystem. Authelia werden wir unter Docker realisieren. Dies ermöglicht uns später sehr schnelle Updates und eine schnelle Installation.
Um Authelia neben anderen Diensten auf unserem Server betreiben zu können, nutzen wir hier den Reverse Proxy Traefik. Die Anleitung dazu findest du hier: /de/vps/anwendungen/traefik-reverseproxy-auf-vps-installieren
Diese Anleitung passt auf die obige Traefik Anleitung. Daher lässt sich diese Anleitung nur 1:1 nutzen, wenn man Traefik nach der obigen Anleitung installiert hat.
1.3.1 Verzeichnis erstellen
Wir erstellen uns ein neues Verzeichnis, in welchem wir später alle Daten von Authelia abspeichern. Dazu geben wir folgendes in der Konsole ein:
mkdir -p /opt/containers/authelia/config Du kannst hier auch ein anderes Verzeichnis verwenden. Musst dann aber die gesamte Anleitung entsprechend anpassen.
1.3.2 docker-compose.yml erstellen
Nun können wir mit der eigentlichen „Installation“ von Authelia beginnen. Dazu öffnest du folgende Datei:
nano /opt/containers/authelia/docker-compose.yml Nun kopierst du folgenden Code in die Datei. Dieser Code ist unser Bauplan für unseren Authelia Container.
version: '3.3'
services:
authelia:
image: authelia/authelia
container_name: authelia
volumes:
- ./config:/config
networks:
- proxy
labels:
- "traefik.enable=true"
- "traefik.http.routers.authelia.entrypoints=http"
- "traefik.http.routers.authelia.rule=Host(`authelia.euredomain.de`)" # Hier eure URL eingeben #
- "traefik.http.middlewares.authelia-https-redirect.redirectscheme.scheme=https"
- "traefik.http.routers.authelia.middlewares=authelia-https-redirect"
- "traefik.http.routers.authelia-secure.entrypoints=https"
- "traefik.http.routers.authelia-secure.rule=Host(`authelia.euredomain.de`)" # Hier eure URL eingeben #
- "traefik.http.routers.authelia-secure.tls=true"
- "traefik.http.routers.authelia-secure.tls.certresolver=http"
- "traefik.http.routers.authelia-secure.service=authelia"
- "traefik.http.services.authelia.loadbalancer.server.port=9091"
- "traefik.docker.network=proxy"
- "traefik.http.routers.authelia-secure.middlewares= secHeaders@file, middlewares-authelia@file"
restart: unless-stopped
healthcheck:
disable: true
environment:
- TZ= Europe/Berlin
networks:
proxy:
external: true Nun müssen wir noch einiges anpassen.
1.3.3 Hostname anpassen
Nun musst du noch den Hostnamen anpassen, über welchen später Authelia erreichbar sein soll.
Diese beiden Zeilen musst du anpassen.
- "traefik.http.routers.authelia.rule=Host(`authelia.euredomain.de `)"
- "traefik.http.routers.authelia-secure.rule=Host(`authelia.euredomain.de`)" In meinem Fall also:
- "traefik.http.routers.authelia.rule=Host(`authelia.testbereich.net`)"
- "traefik.http.routers.authelia-secure.rule=Host(`authelia.testbereich.net`)" 1.4 configuration.yml erstellen
Nun erstellen wir uns noch eine Konfigurationsdatei. Gib dazu folgendes ein:
nano /opt/containers/authelia/config/configuration.yml Kopiere folgenden Inhalt:
---
###############################################################
# Authelia configuration #
###############################################################
jwt_secret: # hier muss ein Token hin
default_redirection_url: https://authelia.euredomain.de
server:
host: 0.0.0.0
port: 9091
log:
level: debug
totp:
issuer: authelia
period: 30
skew: 1
authentication_backend:
file:
path: /config/users_database.yml
password:
algorithm: argon2id
iterations: 1
salt_length: 16
parallelism: 8
memory: 128
access_control:
default_policy: deny
rules:
# Rules applied to everyone
- domain:
- "public.euredomain.de"
- "authelia.euredomain.de"
policy: bypass
- domain: secure.euredomain.de
policy: one_factor
- domain: two.euredomain.de
policy: two_factor
session:
name: authelia_session
expiration: 3600 # 1 Stunde
inactivity: 300 # 5 Minuten
domain: euredomain.de # root Domain angeben
regulation:
max_retries: 3
find_time: 120
ban_time: 300
storage:
local:
path: /config/db.sqlite3
notifier:
#smtp:
#username: admin@euredomain.de
#password: sicher123!
#host: smtp.euredomain.de
#port: 587
#sender: admin@euredomain.de
#filesystem:
#filename: /config/notification.txt 1.5 Anpassen der configuration.yml
In der Konfiguration gibt es schon einige Domains wie „secure“, „two“ und „public“. Wir werden im späteren Verlauf dieser Anleitungen dort Dienste zu Testzwecken zur Verfügung stellen.
Folgende Zeilen musst du nun noch anpassen:
jwt_secret: # hier muss ein Token hin
default_redirection_url: https://authelia.euredomain.de
- domain:
- "public.euredomain.de"
- "authelia.euredomain.de"
policy: bypass
- domain: secure.euredomain.de
policy: one_factor
- domain: two.euredomain.de
policy: two_factor
domain: euredomain.de # root Domain angeben Ein JWT Token kannst du dir auf folgender Webseite generieren: https://jwt.io. Gib dort einfach irgendwelche Daten ein und kopiere dir dann den Code der linken Seite.
Bei mir sieht es dann so aus:
jwt_secret: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6ImRvYWdkbyIsImlhdCI6MTUxNjIzOTAyMn0.0B2HZnSMYC-TMuq92dSma6RayunDYmzMvhJ1uEYDxSs
default_redirection_url: https://authelia.testbereich.net
- domain:
- "public.testbereich.net"
- "authelia.testbereich.net"
policy: bypass
- domain: secure.testbereich.net
policy: one_factor
- domain: two.testbereich.net
policy: two_factor
domain: testbereich.net # root Domain angeben 1.6 Benachrichtigung wählen
Du musst ebenfalls noch wählen, ob du eine Benachrichtigung per E-Mail erhalten willst oder ob diese in eine Datei gespeichert werden sollen. Dazu entfernst du die „#“ vor den entsprechenden Stellen.
1.6.1 Benachrichtigung per E-Mail:
notifier:
smtp:
username: admin@euredomain.de
password: sicher123!
host: smtp.euredomain.de
port: 587
sender: admin@euredomain.de
#filesystem:
#filename: /config/notification.txt Die Zugangsdaten musst du natürlich noch entsprechend anpassen.
1.6.2 Benachrichtigung in Datei speichern:
notifier:
#smtp:
#username: admin@euredomain.de
#password: sicher123!
#host: smtp.euredomain.de
#port: 587
#sender: admin@euredomain.de
filesystem:
filename: /config/notification.txt Hier musst du nun nichts mehr anpassen.
1.7 Nutzer anlegen
Nun legen wir uns noch einen Benutzer für Authelia an. Als erstes erzeugen wir uns ein Passwort für den Benutzer. Gib dazu folgenden Befehl ein:
docker run authelia/authelia:latest authelia hash-password Dein_Passwort also bei mir:
docker run authelia/authelia:latest authelia hash-password dogado-sicher Nun solltest du folgendes sehen:
Diesen Hashwert benötigen wir gleich.
Nun können wir den Benutzer anlegen. Gib dazu folgendes ein:
nano /opt/containers/authelia/config/users_database.yml Gib nun folgendes ein:
###############################################################
# Users Database #
###############################################################
# List of users
users:
authelia:
displayname: "Authelia User"
password: HashWert
email: authelia@euredomain.de
groups:
- admins Nun passen wir den Wert noch an. Ich will, dass mein Benutzer z.B. „dogado“ heißt und das Passwort z.B. „dogado-sicher“ hat. Das Passwort habe ich eben schon generiert und füge dies nun ein.
Bei mir sieht es dann so aus:
###############################################################
# Users Database #
###############################################################
# List of users
users:
dogado:
displayname: "dogado"
password: $argon2id$v=19$m=65536,t=1,p=8$VHVSNHI1S1B4di9jMEVDQg$qYQb6p5PPnxD+Pmbb8j2YkmzPb7CQZwItQbpZ+SWMJ8
email: dogado@testbereich.net
groups:
- admins
1.8 Traefik anpassen
Nun müssen wir Traefik noch anpassen. Dazu öffnest du folgende Datei:
nano /opt/containers/traefik/data/dynamic_conf.yml 
Hier fügst du nun noch folgendes hinzu:
middlewares-authelia:
forwardAuth:
address: "http://authelia:9091/api/verify?rd=https://authelia.euredomain.de"
trustForwardHeader: true
authResponseHeaders:
- "Remote-User"
- "Remote-Groups" Die Domain musst du entsprechend noch anpassen. Bei mir sieht es dann so aus:
1.9 Traefik neu starten
Damit Traefik die Änderungen übernimmt, musst du es neu starten. Gib dazu folgendes ein:
docker compose -f /opt/containers/traefik/docker-compose.yml down
docker compose -f /opt/containers/traefik/docker-compose.yml up -d 1.10 Beispiel-Container erstellen
Nun erstellen wir uns noch Beispiel-Container, um Authelia zu testen. Diese werden später unter „public.euredomain.de“, „secure.euredomain.de“ sowie „two.euredomain.de“ erreichbar sein.
Zuerst erstellen wir uns ein neues Verzeichnis:
mkdir -p /opt/containers/authelia-beispiel/ Darin legen wir uns eine neue Docker Compose Datei an:
nano /opt/containers/authelia-beispiel/docker-compose.yml Gib nun folgendes ein:
version: '3.3'
services:
public:
image: traefik/whoami
container_name: public
networks:
- proxy
labels:
- "traefik.enable=true"
- "traefik.http.routers.public.entrypoints=http"
- "traefik.http.routers.public.rule=Host(`public.euredomain.de`)" # Hier eure URL eingeben #
- "traefik.http.middlewares.public-https-redirect.redirectscheme.scheme=https"
- "traefik.http.routers.public.middlewares=public-https-redirect"
- "traefik.http.routers.public-secure.entrypoints=https"
- "traefik.http.routers.public-secure.rule=Host(`public.euredomain.de`)" # Hier eure URL eingeben #
- "traefik.http.routers.public-secure.tls=true"
- "traefik.http.routers.public-secure.tls.certresolver=http"
- "traefik.http.routers.public-secure.service=public"
- "traefik.http.services.public.loadbalancer.server.port=80"
- "traefik.docker.network=proxy"
- "traefik.http.routers.public-secure.middlewares=middlewares-authelia@file"
restart: unless-stopped
secure:
image: traefik/whoami
container_name: secure
networks:
- proxy
labels:
- "traefik.enable=true"
- "traefik.http.routers.secure.entrypoints=http"
- "traefik.http.routers.secure.rule=Host(`secure.euredomain.de`)" # Hier eure URL eingeben #
- "traefik.http.middlewares.secure-https-redirect.redirectscheme.scheme=https"
- "traefik.http.routers.secure.middlewares=secure-https-redirect"
- "traefik.http.routers.secure-secure.entrypoints=https"
- "traefik.http.routers.secure-secure.rule=Host(`secure.euredomain.de`)" # Hier eure URL eingeben #
- "traefik.http.routers.secure-secure.tls=true"
- "traefik.http.routers.secure-secure.tls.certresolver=http"
- "traefik.http.routers.secure-secure.service=secure"
- "traefik.http.services.secure.loadbalancer.server.port=80"
- "traefik.docker.network=proxy"
- "traefik.http.routers.secure-secure.middlewares=middlewares-authelia@file"
restart: unless-stopped
two:
image: traefik/whoami
container_name: two
networks:
- proxy
labels:
- "traefik.enable=true"
- "traefik.http.routers.two.entrypoints=http"
- "traefik.http.routers.two.rule=Host(`two.euredomain.de`)" # Hier eure URL eingeben #
- "traefik.http.middlewares.two-https-redirect.redirectscheme.scheme=https"
- "traefik.http.routers.two.middlewares=two-https-redirect"
- "traefik.http.routers.two-two.entrypoints=https"
- "traefik.http.routers.two-two.rule=Host(`two.euredomain.de`)" # Hier eure URL eingeben #
- "traefik.http.routers.two-two.tls=true"
- "traefik.http.routers.two-two.tls.certresolver=http"
- "traefik.http.routers.two-two.service=two"
- "traefik.http.services.two.loadbalancer.server.port=80"
- "traefik.docker.network=proxy"
- "traefik.http.routers.two-two.middlewares=middlewares-authelia@file"
networks:
proxy:
external: true Hier musst du bei jedem Container wieder 2x eure Domain anpassen. Also bei mir:
vorher:
- "traefik.http.routers.public.rule=Host(`public.euredomain.de`)"
- "traefik.http.routers.public-secure.rule=Host(`public.euredomain.de`)"
- "traefik.http.routers.secure.rule=Host(`secure.euredomain.de`)"
- "traefik.http.routers.secure-secure.rule=Host(`secure.euredomain.de`)"
- "traefik.http.routers.two.rule=Host(`two.euredomain.de`)"
- "traefik.http.routers.two-two.rule=Host(`two.euredomain.de`)" nachher:
- "traefik.http.routers.public.rule=Host(`public.testbereich.net`)"
- "traefik.http.routers.public-secure.rule=Host(`public.testbereich.net`)"
- "traefik.http.routers.secure.rule=Host(`secure.testbereich.net`)"
- "traefik.http.routers.secure-secure.rule=Host(`secure.testbereich.net`)"
- "traefik.http.routers.two.rule=Host(`two.testbereich.net`)"
- "traefik.http.routers.two-two.rule=Host(`two.testbereich.net`)" 2. Authelia starten
Nun können wir Authelia starten. Dazu gibst du folgendes ein:
docker compose -f /opt/containers/authelia/docker-compose.yml up -d Nun kannst du auf deine Webseite (https://authelia.euredomain.de) gehen und solltest folgendes sehen:
3. Zwei-Faktor-Authentifizierung einrichten
Dazu musst du dich einloggen und solltest nun folgendes sehen:
Klicke jetzt „Register device“.
Wenn du dich für Notification per E-Mail entschieden hast, dann solltest du jetzt folgende E-Mail bekommen:
Wenn du dich per Notification per Datei entschieden hast, dann kannst du jetzt in folgender Datei schauen:
cat /opt/containers/authelia/config/notification.txt Du solltest nun folgendes sehen:
Wenn du nun auf den Link klickst bzw. diesen kopierst, dann solltest du folgendes sehen:
Scanne nun den QR Code ein und klicke anschließend auf weiter. Nun musst du den generierten Code von deinem Handy eingeben.
Anschließend erscheint folgende Meldung:
4. Beispiel-Container starten
Nun starten wir unsere Beispiel Container um Authelia zu testen. Gib dazu folgenden Befehl ein:
docker compose -f /opt/containers/authelia-beispiel/docker-compose.yml up -d 5. Authelia testen
Führe diese Tests im Privaten Modus deines Browsers durch. Wenn du bereits eingeloggt bist, dann erscheint keine Abfrage mehr.
Gehe nun auf die Webseite „public.euredomain.de“. Diese sollte sich „normal“ öffnen.
Nun testen wir die „einfache Abfrage“. Gehe dazu auf „secure.euredomain.de“. Hier solltest du folgendes sehen:
Nachdem du dich eingeloggt hast, solltest du dieselbe Seite wie eben sehen.
Löscht nun alle Cookies!
Nun testen wir noch die Zwei Faktor Authentifizierung. Gehe dazu auf „two.euredomain.de“. Hier solltest du nun zuerst nach deinem Benutzername / Passwort gefragt werden
Anschließend nach deinem 2 Faktor.
Nachdem du diesen eingegeben hast, solltest du wieder dieselbe Seite wie eben sehen.
