SSO (inicio de sesión único) · OIDC (protocolo de autenticación OpenID Connect) · 2FA (autenticación en dos pasos) · Identidad
📌 v2026.2.2 · 2026-04-01
Authentik — El guardián de la puerta
Un único usuario y contraseña para acceder a todos los servicios de SmallCountry, con verificación en dos pasos (2FA) obligatoria. Sin Authentik, cada servicio pediría credenciales distintas.
Como usuario
Qué podrás hacer
- Iniciar sesión una sola vez para todos los servicios
- Verificación en dos pasos con app authenticator
- Cambiar tu contraseña desde un solo sitio
- Recuperar acceso si pierdes el 2FA (contactando al admin)
Cómo se accederá
| Plataforma |
Cómo |
| Navegador |
Transparente — redirige automáticamente |
| Ubuntu |
Transparente — redirige automáticamente |
| Android |
Transparente — redirige automáticamente |
| FireTV |
No aplica |
Integración con otros servicios de SmallCountry
| Servicio |
Relación |
| Caddy |
forward_auth en cada servicio — Caddy consulta a Authentik antes de dejar pasar |
| NetBird |
Autenticación OIDC de la VPN (red privada virtual) — solo entras a la VPN si Authentik te reconoce |
| Todos los servicios de SmallCountry**** |
SSO unificado — una sola sesión para todo |
Servicios que lo hacen posible
- Docker — orquestación de contenedores
- PostgreSQL — base de datos de usuarios y sesiones
- Redis — caché de sesiones y colas de tareas
Para el administrador (diseño previsto)
Datos del servicio
|
|
| LXC (contenedor ligero de Proxmox) |
105 |
| IP |
10.10.10.105 |
| Tier |
A |
| Impacto |
🔴 Crítico — caída = nadie puede acceder a nada |
Almacenamiento persistente
|
|
| ZFS (sistema de archivos con integridad de datos) dataset |
rpool/datos/authentik |
| Montaje en LXC |
/opt/authentik/ |
| Subdirectorios |
config/ data/ logs/ |
| Backup |
PBS (sistema de copias de seguridad de Proxmox) diario + ZFS snapshot @15min |
Healthcheck
docker exec authentik-server healthcheck
curl -s https://authentik.sc/health
Logs y diagnóstico
docker logs --tail 100 authentik-server
docker logs --tail 100 authentik-worker
journalctl -u authentik
Backup manual
zfs snapshot rpool/datos/authentik@manual-$(date +%Y%m%d)
Problemas comunes
- "No puedo entrar a nada": verificar que LXC 105 está corriendo →
ssh 10.10.10.105 'systemctl status docker'
- "2FA no funciona": sincronizar hora del servidor con NTP →
timedatectl set-ntp true
Para el arquitecto (diseño previsto)
Relaciones con otros servicios
flowchart LR
NetBird[NetBird VPN] -->|OIDC Auth| Authentik
Caddy[Caddy LXC 102] -->|forward_auth| Authentik
Authentik -->|OAuth2/OIDC| Services[Todos los servicios]
Services -->|redirige login| Authentik
Configuración de red
| Bridge |
Puerto |
Acceso desde |
| vmbr1 |
9000 |
API (interfaz de programación) — Caddy (LXC 102) |
| vmbr1 |
9443 |
Web — Caddy (LXC 102) |
En Pi-hole
authentik.sc → 10.10.10.105
En Caddy
authentik.sc {
reverse_proxy 10.10.10.105:9443
}
En Authentik
|
|
| Provider |
OAuth2 / OIDC |
| Grupos asignados |
familia / empresa / admin / finca |
Orquestación
| Componente |
Path |
| Rol Ansible |
roles/authentik/ |
| Playbook |
deploy-authentik.yml |
| Módulo OpenTofu |
modules/authentik/ |
| Semaphore |
Proyecto authentik, Template deploy |
| Forgejo Actions |
.forgejo/workflows/authentik.yml |
| Repo Forgejo |
infra-core/ |
| Ficha versionada |
docs/fichas/programas/authentik.md |
Secciones relacionadas
🌐 Enlaces de interés
Sitio oficial · Documentación · GitHub