SSO Authelia¶
Authentification centralisée pour les services d'administration via Authelia + Caddy Forward Auth.
Services protégés¶
| Domaine | Application |
|---|---|
coolercontrol.ncls.ltd |
CoolerControl |
updates.ncls.ltd |
Cup |
prowlarr.ncls.ltd |
Prowlarr |
radarr.ncls.ltd |
Radarr |
portainer.ncls.ltd |
Portainer |
sabnzbd.ncls.ltd |
SABnzbd |
sonarr.ncls.ltd |
Sonarr |
bazarr.ncls.ltd |
Bazarr |
pbs.ncls.ltd |
PBS |
glances.ncls.ltd |
Glances |
host.ncls.ltd |
Proxmox Host UI |
uptime.ncls.ltd |
Uptime Kuma |
Services avec auth propre (bypass Authelia)¶
| Domaine | Application | Auth |
|---|---|---|
feed.ncls.ltd |
FreshRSS | Form auth + API password séparé (incompatible SSO1) |
flix.ncls.ltd |
Jellyfin | Auth Jellyfin |
retro.ncls.ltd |
Romm | Auth Romm |
run.ncls.ltd |
Endurain | Auth Endurain |
Accès¶
- URL : https://auth.ncls.ltd
- Utilisateur :
admin - 2FA : TOTP
Sécurité¶
Fail2ban jail authelia (maxretry=5, bantime=1h) — voir Sécurité LXC 103.
Configuration¶
Voir Authelia pour la configuration détaillée (users, access_control, Forward Auth, troubleshooting).
-
Le mode
http_authde FreshRSS repose exclusivement sur le headerRemote-Userpour toutes les requêtes, y compris les appels API (Google Reader/Fever). Les clients mobiles (Capyreader, etc.) contournent Authelia et n'envoient donc jamais ce header — les écritures (mark as read) échouent silencieusement. Voir FreshRSS. ↩