Authentik으로 홈서버 SSO 구현하기 (5) - Proxy

728x90

개요

홈서버에서 사용하는 대부분의 애플리케이션들은 앞선 글에서 소개했던 OAuth/OpenID, SAML로 모두 해결할 수 있습니다.

그러나, 이런 류의 인증방식을 지원하지 않는 것들도 굉장히 많죠. 예를 들어, 토렌트 자동화에 쓰이는 Sonarr, Radarr 같은 것들이나, Plex의 서드파티 플러그인 tautulli같은 것이 대표적입니다..

*arr 시리즈만 해도 종류가 4~5가지가 넘어가는데, 이들을 하나하나 로그인해가면서 사용하는 건 너무 귀찮습니다.

Remember me를 체크해서 아이디 비밀번호를 저장할 수도 있지만, 이것도 토큰 유효기간 끝나면 풀려버리죠.

이런 류의 프로그램을 Authentik으로 인증하는 방법을 진행해 보겠습니다.

Proxy Provider를 구성하고 나면 LDAP때와 마찬가지로 Outpost 컨테이너가 실행됩니다.

이번 방식에서는, 리버스 프록시로 개별 서비스에 직접 접근하지 않고, Authentik으로 인증을 진행할 모든 서비스의 리버스 프록시는 이 Outpost 컨테이너로 보내게 됩니다.

a.example.com, b.example.com, c.example.com… 모두 10.10.10.10:9000 으로 보내지고,

Outpost컨테이너는 사전에 정의된 ID/PW를 함께 담아 개별 서비스로 다시 보내주는 방식으로 작동하게 됩니다.

아래 개별 서비스로 예시를 들어보겠습니다.

이하 Radarr, Lidarr, Prowlarr 등 *arr 형제는 모두 같은 방식으로 진행합니다.

내부 주소는 sonarr 주소가 아니라 {Authentik 내부 IP:9000}으로 설정하셔야 합니다.

위에서 설명했듯, Outpost 컨테이너로 가야 하기 때문입니다.

이 방식의 인증을 사용할 때는, 로그인할 ID와 PW를 Authentik에서 사용자(혹은 그룹)의 특성에 직접 정의해주어야 합니다.

해당 특성을 가진 사용자가 프록시를 통해 접근하면 보유한 ID와 PW를 토큰처럼 사용해서 인증을 통과하는 방식입니다.

저는 아래처럼 arr_user라는 이름의 그룹을 하나 생성하고, 그룹 특성으로 arr_user와 arr_password라는 특성을 정의했습니다.

이제 다른 사용자를 이 그룹에 추가해주면, 해당 사용자는 이 특성을 사용할 수 있게 됩니다.

애플리케이션 – 공급자 – Proxy Provider를 순차적으로 클릭합니다.

애플리케이션 – 애플리케이션으로 이동해서 애플리케이션도 하나 생성해 줍니다.

애플리케이션 – Outposts – 생성을 클릭해 Proxy Outpost를 하나 생성해 줍니다.

애플리케이션 목록에 방금 생성한 sonarr를 포함해 주면 됩니다.

Outpost를 생성하면 LDAP때와 마찬가지로 알아서 필요한 컨테이너를 생성하고 스스로 구성합니다.

컨테이너 구성이 끝나기 전까지는 Outpost 사용 불가 상태이지만,

구성이 끝나면 사용 가능 상태로 전환됩니다.

Settings – General – Security에서 Authentication항목을 Basic (Browser Popup)으로 설정합니다.

Forms (Login Page)로 설정할 경우 Proxy Provider로 통과하지 못합니다.

이후 sonarr.fentanest.com으로 접속하면 Authentik 로그인 화면으로 리다이렉트 되고, Authentik 로그인에 성공하면 Sonarr로그인을 자동으로 수행하는 것을 확인할 수 있습니다.

이제 Radarr, Lidarr 등을 계속해서 추가하기 위해선, Provider와 애플리케이션을 생성한 뒤, Proxy Outpost에 새로 생성한 애플리케이션을 추가하기만 하면 됩니다.