Skip to content

SSO Authelia

Authentification centralisée pour les services d'administration via Authelia + Caddy Forward Auth.

Services protégés

Domaine Application
coolercontrol.ncls.ltd CoolerControl
updates.ncls.ltd Cup
prowlarr.ncls.ltd Prowlarr
radarr.ncls.ltd Radarr
portainer.ncls.ltd Portainer
sabnzbd.ncls.ltd SABnzbd
sonarr.ncls.ltd Sonarr
bazarr.ncls.ltd Bazarr
pbs.ncls.ltd PBS
glances.ncls.ltd Glances
host.ncls.ltd Proxmox Host UI
uptime.ncls.ltd Uptime Kuma

Services avec auth propre (bypass Authelia)

Domaine Application Auth
feed.ncls.ltd FreshRSS Form auth + API password séparé (incompatible SSO1)
flix.ncls.ltd Jellyfin Auth Jellyfin
retro.ncls.ltd Romm Auth Romm
run.ncls.ltd Endurain Auth Endurain

Accès

Sécurité

Fail2ban jail authelia (maxretry=5, bantime=1h) — voir Sécurité LXC 103.

Configuration

Voir Authelia pour la configuration détaillée (users, access_control, Forward Auth, troubleshooting).


  1. Le mode http_auth de FreshRSS repose exclusivement sur le header Remote-User pour toutes les requêtes, y compris les appels API (Google Reader/Fever). Les clients mobiles (Capyreader, etc.) contournent Authelia et n'envoient donc jamais ce header — les écritures (mark as read) échouent silencieusement. Voir FreshRSS