(서버구축기 잡설 다수 포함) authelia vs authentik...여러분들의 생각은 어떠신가요?
사내에 docker 기반으로 서버를 구축중입니다. Source 저장소, CI/CD가 메인이고, 가급적 가볍게 가고 싶어서 이리저리 해보는데...인증 부분에서 갈등을 하고 있습니다.
1. L7 - Nignx Proxy Manager
이견이 필요없는 개발서버용 L7입니다. caddy나 traefik 같이 text 기반 설정이 아니라 Web 에서 대부분을 적용할 수 있고, LB가 필요없을 경우 지식 전파 및 인수인계에 최적화 되었다고 생각합니다.
2. 사용자 인증정보 관리 - LLDAP
OpenLDAP을 하려다 우연히 LLDAP을 알게 되어서...매우 간단하고 심플하게 개발자들만 등록해서 사용하려고 했습니다. 등록된 사용자는 LLDAP의 기본 웹페이지에서 비밀번호를 변경할 수 있어서 phpldapadmin같이 과한 UI를 접하지 않아도 될 것으로 기대됩니다.
3. Source 저장소 - GitLab -> Gitea
GitLab을 사내에서 주로 사용했으나(현 팀은 SVN) 소스 저장소 외에 CI/CD와 라이브러리 저장소도 따로 운영할 것 같아 가벼운 Gitea 도입을 검토중입니다. 이후 주니어 개발자 대상으로 PR(MR) 정도는 사용할 수도 있겠네요.
4. CI/CD
Jenkins 사용중인데, Gitea의 Actions로는 한계가 보여서...Jenkins로 가야할 것 같습니다. Gitea는 가볍지만 Actions를 사용하려면 별도의 빌드 인스턴스가 필요한데, 이게 꽤 무거운 것으로 보였습니다. 문제는 Jenkins입니다. 후술하겠습니다.
5. 라이브러리 저장소
Nexus를 쓸 예정입니다.
가장 기본적인 세트로 이 정도 고민중인데...갈등을 하고 있는 것이 바로 인증(Authentication)의 문제입니다. 물론 인가(Authrization)도 가능해야지만요. 이 부분에서 Jenkins가 좀 걸립니다.
먼저 개인 테스트용 proxmox에서 이것저것 실험중인데, lldap 설치해서 gitea에 LDAP 연결해서 조직/팀까지 자동으로 연결되면서 로그인 되는 것을 확인했습니다. 그리고, gitea에서 OIDC를 지원해서 oAuth2도 될 것으로 기대하여서 Jenkins에 oAuth2로 연결해두면 gitea 로그인 페이지에서 로그인하면 Jenkins도 SSO가 되겠지...했습니다. 하지만...
By itself, this library has no user visible changes, it is intended only to surface new extension points on top of which OAuth providers may surface their own OAuth2Credentials implementations.
이 라이브러리는 사용자가 볼 수 있는 변경 사항이 없으며, OAuth 공급자가 자체 OAuth2Credentials 구현을 표면화할 수 있는 새로운 확장 지점만 표면화하도록 되어 있습니다.
망했습니다. 일반적인 oAuth는 안되고, 저 플러그인을 확장한 다른 플러그인들만 지원하는 걸로 보이고...Gitea는 안보입니다.
이렇게되면, LLDAP만 연결해서 사용해야 하고...SSO가 아니기 때문에 언급한 사이트들을 들어갈 때 로그인해서 써야 한다는 얘기가 되니까요.
본론입니다.
그래서 authentik, authelia, casdoor 등을 알아보고 있습니다. nexus는 필수도 아니고, 사이트를 직접 들어가는 경우보다는 개발툴에서 인증정보를 별도 파일에 저장해둔 뒤 빌드툴에서 접근하기 때문에 oAuth니 SAML이니...이런거 다 안되어도 상관 없습니다. 그리고 현 상황에선 LLDAP도 있고 Proxy-Auth 정도만 해두면 불편함이 많이 줄겠단 생각이 들었습니다.
그래서 먼저 기능이 많아보이는 casdoor부터 설치해봤습니다...
...
탈락입니다.
너무 복잡해보입니다. 기능이 많다보니, 주니어가 될지도 모르는 후임자에게 설명하기 너무 힘듭니다.
다음 후보는 역시나 이 사이트에서 많이 언급되는(한글 자료는 거의 이 사이트에서 나오더군요) authentik, authelia입니다. 지금 설치 직전에 먼저 쉬어가는 타이밍으로 글을 적고 있습니다.
둘 중 어떤 쪽을 선호하는지 의견을 남겨주실 수 있을까요?
LLDAP에서 LDAP을 지원하기 때문에 proxy-auth로 npm 아래의 사이트는 복잡하긴 하지만 웹에서 설정이 가능할 것으로 기대합니다. oAuth가 필요하면 gitea도 있고...authentik, authelia에서 만약 제공해준다면 금상첨화겠네요. AWS나 Azure도 접속해야 하는 것이 있어서 기존에는 keycload으로 SAML2 인증을 통해서 사용했는데, 사이트에서 로그인페이지로 연결해주는 버튼은 없다보니 주소를 저장하고 있거나 공용문서를 열어서 클릭해서 들어와야 하는 불편함이 있었습니다. 그래도 없는 것보단 나아서...SAML2도 지원해주면 금상첨화겠네요.
사용해보신 분들의 적절한 조언 부탁드립니다.
장문을 읽어주셔서 고맙습니다.
1등 검색단어를 신중히 고르지 못해서 실수를 했네요. OIDC 로 검색하니 OpenID Connect 가 나오네요.
문제는 gitea 에서 groups 를 못가져오는 것 같습니다. lldap->gitea 로 넘어갈 때 groups 를 그대로 쓸 수 없어서 수동매핑을 해줘야 하는 것으로 보이는데, gitea 에서 groups 를 null 로 보내는 것처럼 보이네요. 온라인에서 넘어온 claims 를 볼 수 있는 방법을 몰라서 검증이 안되네요.
그냥 맘 편하게 lldap 으로 ldap 인증으로 가려고 합니다. 어짜피 nexus 도 ldap은 지원해도 oAuth는 지원 안하더군요. proxy-auth는 지원하는 것 같아서 authelia 쪽은 계속 시도해봐야 할 것 같습니다. authentik은 postgresql만 지원하는 거 같아서 제외했습니다. redis 사용하는 것도 좀 껄끄럽구요.
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
