Ik heb een tijd geëxperimenteerd met Authentik als centrale voordeur voor mijn homelab. Het idee was logisch: één centrale login, eventueel MFA, en daarna gecontroleerde toegang tot services zoals Radarr, Sonarr, Prowlarr, Bazarr, Portainer en andere beheerinterfaces.
Op papier klinkt dat heel aantrekkelijk. In de praktijk merkte ik alleen dat het voor mijn eigen setup minder soepel werkte dan gehoopt. Authentik is vooral sterk wanneer applicaties netjes OIDC, SAML of LDAP ondersteunen. Veel typische homelab-apps doen dat niet, of maar half. Dan kom je al snel terecht in workarounds met forward auth, headers, basic-auth forwarding en proxygedrag dat per applicatie weer net anders werkt.
Daarom heb ik voorlopig gekozen voor een simpelere aanpak: beheerinterfaces zijn niet publiek bereikbaar, maar alleen toegankelijk vanaf mijn LAN of via VPN. Daarvoor gebruik ik Nginx Proxy Manager met een Access List voor mijn lokale netwerk en WireGuard/VPN-subnet. De lokale login van de applicaties blijft gewoon bestaan, maar de services hangen niet open aan het internet.
Dat is minder fancy dan een volledige SSO-laag, maar voor mijn situatie wel overzichtelijker. Minder onderdelen, minder proxygedoe en minder kans dat ik mezelf buitensluit door een half werkende integratie.
Op LANgenoten heb ik uitgebreider opgeschreven waar ik tegenaan liep, wat ik nu doe en in welke situaties Authentik volgens mij wél nuttig kan zijn. Wil je de volledige uitleg lezen of reageren met je eigen aanpak? Gebruik dan de knop hieronder.