Authelia与NGINX Proxy Manager集成指南

于 2025-06-01 09:08:23 发布
阅读量289 收藏 3
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_01044/article/details/148362003

Authelia与NGINX Proxy Manager集成指南

authelia The Single Sign-On Multi-Factor portal for web apps authelia 项目地址: https://gitcode.com/gh_mirrors/au/authelia

前言

在现代Web应用架构中,身份验证和反向代理是两个至关重要的组件。Authelia作为开源的身份验证和授权服务器,可以与NGINX Proxy Manager这一流行的反向代理管理工具无缝集成,为您的应用提供强大的安全保护。

核心概念理解

Authelia是什么?

Authelia是一个开源的身份验证和授权服务器,提供以下核心功能:

  • 双因素认证(2FA)支持
  • 单点登录(SSO)功能
  • 细粒度的访问控制策略
  • 与多种后端用户存储集成

NGINX Proxy Manager简介

NGINX Proxy Manager是基于NGINX开发的图形化管理工具,主要特点包括:

  • 提供直观的Web界面配置反向代理
  • 内置Let's Encrypt证书管理
  • 简化了复杂的NGINX配置过程

集成准备

系统要求

在开始集成前,请确保满足以下条件:

  1. 已安装Docker和Docker Compose
  2. 拥有一个可用的域名
  3. 服务器开放了80和443端口

网络架构设计

典型的部署架构包含以下组件:

用户请求 → NGINX Proxy Manager → (可选)Authelia验证 → 后端应用

详细配置步骤

1. 编写Docker Compose文件

首先创建一个docker-compose.yml文件,定义所有服务:

version: '3.8'

networks:
  proxy_network:
    driver: bridge

services:
  nginx-proxy-manager:
    image: jc21/nginx-proxy-manager
    container_name: nginx-proxy-manager
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
      - "81:81"  # 管理界面端口
    volumes:
      - ./data/nginx:/data
      - ./data/letsencrypt:/etc/letsencrypt
      - ./snippets:/snippets
    networks:
      - proxy_network

  authelia:
    image: authelia/authelia
    container_name: authelia
    restart: unless-stopped
    volumes:
      - ./authelia/config:/config
    networks:
      - proxy_network
    environment:
      - TZ=Asia/Shanghai

  # 示例应用
  whoami:
    image: containous/whoami
    container_name: whoami
    networks:
      - proxy_network

2. 配置Authelia门户

在NGINX Proxy Manager中设置Authelia门户:

  1. 创建新的"Proxy Host"

  2. 在"Details"选项卡中配置:

    • 域名:auth.yourdomain.com
    • 协议:HTTP
    • 转发主机:authelia
    • 转发端口:9091

  3. 在"Advanced"选项卡中添加:

location / {
    include /snippets/proxy.conf;
    proxy_pass $forward_scheme://$server:$port;
}

3. 保护后端应用

以保护Nextcloud为例:

  1. 创建新的"Proxy Host"

  2. 基础配置:

    • 域名:nextcloud.yourdomain.com
    • 协议:HTTP
    • 转发主机:nextcloud
    • 转发端口:80

  3. 高级配置:

include /snippets/authelia-location.conf;

location / {
    include /snippets/proxy.conf;
    include /snippets/authelia-authrequest.conf;
    proxy_pass $forward_scheme://$server:$port;
}

关键配置说明

配置文件片段

集成Authelia需要以下几个关键NGINX配置片段:

  1. proxy.conf - 包含基本的代理设置
  2. authelia-location.conf - 定义Authelia验证端点
  3. authelia-authrequest.conf - 配置认证请求

自定义位置处理

如果需要添加自定义位置且需要保护,应在高级配置中添加:

location /custom-path {
    include /snippets/proxy.conf;
    include /snippets/authelia-authrequest.conf;
    proxy_pass http://backend-server:port;
}

常见问题解决

1. 证书问题

确保Authelia和受保护应用使用相同的证书颁发机构,避免混合内容警告。

2. 头信息传递

验证X-Forwarded-*头信息是否正确传递,这对Authelia的IP检测至关重要。

3. WebSocket支持

如需WebSocket支持,需额外包含websocket.conf配置片段。

最佳实践建议

  1. 网络隔离:将Authelia和敏感应用放在同一内部网络
  2. 日志监控:定期检查Authelia和NGINX日志
  3. 备份配置:定期备份NGINX Proxy Manager的配置
  4. 测试环境:先在测试环境验证配置

总结

通过本文的指导,您应该已经成功将Authelia与NGINX Proxy Manager集成,为您的Web应用添加了强大的身份验证层。这种组合既保留了NGINX Proxy Manager的易用性,又通过Authelia增强了安全性,是保护内部服务的理想解决方案。

记住,安全配置是一个持续的过程,建议定期审查和更新您的安全设置以适应新的威胁形势。

authelia The Single Sign-On Multi-Factor portal for web apps authelia 项目地址: https://gitcode.com/gh_mirrors/au/authelia

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

岑姣盼Estra

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值