Расскажите про SSO

Authelia - самое простое для личного сервера. Все конфиги в файлах, sqlite для хранения сессий. Распространена наравне с authentik - много где с приложением идёт рецепт по его настройке в сабже.

А если приложение не поддерживает oauth, могу же я настроить редирект на Authelia через NGINX, а потом с полученные токены подсунуть приложухе? В моем случае интересна интеграция с incus

Что за сервисы то? Сайты?

https://www.authelia.com/integration/openid-connect/clients/incus/

Делюсь своим опытом двухлетней давности:

Authelia - не умеет полноценно в разные домены (то есть a.domain1 и b.domain1 - это ок, а вот например c.domain1.internal и b.domain1.lan - это НЕ ок). Но зато лёгкая и простая в настройке. Сейчас вроде работают над преодолением ограничения в один домен, на базе которого должны быть все поддомены. Как доделают - ИМХО будет огонь.

Authentik - реально комбайн в хорошем смысле этого слова, но когда я его пробовал, он у меня через некоторое время тупо вис(лечилось перезапуском контейнера).

Keycloak - нет. Просто нет. Не надо. В ынтерпрайзе я этого монстра еще могу понять, но дома с таким мудохаться - увольте.

Честно говоря, я для себя на централизованную авторизацию в своих сервисах забил, потому что:

- нормальную отказоустойчивость делать для сервиса авторизации напряжно(с кластеризацией Authelia что-то не срослось, уже не помню, а про надежность Authentik я уже сказал);
- разные домены верхнего уровня защищаемых сервисов(что-то в внешнем домене .ru, что-то в локальном .lan) - не каждый сервис SSO такое умеет, как оказалось;
- ну и самое главное - периодически конечно возникает необходимость дать доступ к тому или другому сервису кому-то еще. Но пока у меня ни разу не возникала необходимость дать доступ одному и тому же человеку к НЕСКОЛЬКИМ сервисам. Так что развертывание и поддержка сервиса SSO в моём случае - просто трата времени. Я честно попробовал, да, just for fun, а когда не взлетело - забил.

Аутентик использую несколько лет уже. Все в контейнере. Аутелиа как-то в начале не прижилась, что-то плохо работало, не помню уже.

Для себя хочу ещё с nginx proxy manager или traefic соединить.

Keycloak - нет. Просто нет. Не надо. В ынтерпрайзе я этого монстра еще могу понять, но дома с таким мудохаться - увольте.

У него ж Terraform провайдер есть. Наоборот никакого мудохания.

А как все эти вещи соотносятся например с kerberos?

Наоборот никакого мудохания.

А ты сам пробовал? (=

Вроде бы только у Keycloak есть поддержка Kerberos 5.

В общем случае - никак. SSO в обсуждаемом здесь ключе - оно для веб-служб. То есть речь про OAuth, OIDC и прочие стандарты. А уж откуда берутся логины/пароли для сверки в самом сервисе авторизации(локальная база, LDAP, Kerberos и т.д.) - надо смотреть в описании самого сервиса авторизации.

SSO в локальной сети (самым известным представителем которого является Active Directory) - это другой набор протоколов. У Microsoft есть еще ADFS, вот оно ближе к обсуждаемому здесь.

Я - не devops ни разу, этим вашим Terraform-ам не обучен, поэтому сорян. А развертывание Keycloak руками даже в докере - боль-дырка-задница.

Вы хотели сказать развертывание и настройка? Потому что я еще 4 месяца назад вообще не знал что это такое. Мне сказали, надо поставить. Я взял и поставил, минут за 60. По оф доке. Потом сказали что версия не та, нужно более старую. Удалил и поставил старую. Потом еще сказали что на DEV стенде кейклок обновить нужно, до конкретной версии. Опять же, по оф доке все обновил.

А вот уже с настройками да, боль.

Да, под развертыванием я подразумевал весь процесс - от установки(что docker облегчает) до конфигурирование от начала и вплоть до работающего сервиса, обслуживающего пользователей. И вот с последним у Keycloak всё не просто.

Я - не devops ни разу, этим вашим Terraform-ам не обучен, поэтому сорян. А развертывание Keycloak руками даже в докере - боль-дырка-задница.

ИИшницу возьми, ну.

Спасибо нет, я уже неоднократно пробовал ИИ в областях где я абсолютно не шарю. Обычно в таких случаях я не могу задать корректный вопрос, а если и могу - то в большинстве случаев ИИ мне подсовывает полурабочую дичь. В таких случаях мне бывает проще спросить кого-то с естественным интеллектом.

То есть вот например я не работал с API Telegram, но умею немножко в Python и при просьбе к ИИ набросать рыбу для телеграм-бота на питоне - я откровенную дичь в синтаксисе распарсю. А вот проблемы с использованием неправильной библиотеки или неправильное использование API - уже нет.

Terraform - это не даже апи. У него есть дока, у него есть весьма ограниченное множество методов и переменных. Потому нормальная ИИшница (не надо тут про бесплатный дикпик и прочую бороду) вроде ChatGPT 5.4 Thinking или Claude Opus 4.6 Extended тебе напишет вполне сносный код управления, а если немного поитерироваться или упороться в Deep research, то напишет лучше человека. Впрочем, с апи будет похоже, но там уже возможны варианты, если дока плохя.

Это ж не какой-то код заново писать и алгоритмы придумывать. Тут всё есть.

Authelia - самое простое для личного сервера.

Мужик, огромное тебе спасибо, оно заработало прекрасно и так как я хотел. По сравнению с остальными оно реально без геммороя. Я счастлив =)

Я пару раз делал заходы на Terraform и OpenTofu, в итоге помучился с тем что регистр не доступен для рф и все сделал на ansible. Включая создание контейнеров внутри Proxmox, что оказалось чуть не легче чем через TF

Ванильный Terraform - всё, он на века отстал от OpenTofu. Тут он упомянут как технология, а не как продукт. Ну а насчет реестра - квн в помощь. Это же Россия, без квна вообще ничего не работает.