identidad
seguridad
tier-a
SSO (inicio de sesión único) · OIDC (protocolo de autenticación OpenID Connect) · 2FA (autenticación en dos pasos) · Identidad
📌 v2026.2.2 · 2026-04-01
Authentik — El guardián de la puerta
Un único usuario y contraseña para acceder a todos los servicios de SmallCountry , con verificación en dos pasos (2FA) obligatoria. Sin Authentik, cada servicio pediría credenciales distintas.
Como usuario
Qué podrás hacer
Iniciar sesión una sola vez para todos los servicios
Verificación en dos pasos con app authenticator
Cambiar tu contraseña desde un solo sitio
Recuperar acceso si pierdes el 2FA (contactando al admin)
Cómo se accederá
Plataforma
Cómo
Navegador
Transparente — redirige automáticamente
Ubuntu
Transparente — redirige automáticamente
Android
Transparente — redirige automáticamente
FireTV
No aplica
Integración con otros servicios de SmallCountry
Servicio
Relación
Caddy
forward_auth en cada servicio — Caddy consulta a Authentik antes de dejar pasar
NetBird
Autenticación OIDC de la VPN (red privada virtual) — solo entras a la VPN si Authentik te reconoce
Todos los servicios de SmallCountry****
SSO unificado — una sola sesión para todo
Servicios que lo hacen posible
Docker — orquestación de contenedores
PostgreSQL — base de datos de usuarios y sesiones
Redis — caché de sesiones y colas de tareas
Para el administrador (diseño previsto)
Datos del servicio
LXC (contenedor ligero de Proxmox)
105
IP
10.10.10.105
Tier
A
Impacto
🔴 Crítico — caída = nadie puede acceder a nada
Almacenamiento persistente
ZFS (sistema de archivos con integridad de datos) dataset
rpool/datos/authentik
Montaje en LXC
/opt/authentik/
Subdirectorios
config/ data/ logs/
Backup
PBS (sistema de copias de seguridad de Proxmox) diario + ZFS snapshot @15min
Healthcheck
docker exec authentik-server healthcheck
curl -s https://authentik.sc/health
Logs y diagnóstico
docker logs --tail 100 authentik-server
docker logs --tail 100 authentik-worker
journalctl -u authentik
Backup manual
zfs snapshot rpool/datos/authentik@manual-$( date +%Y%m%d)
Problemas comunes
"No puedo entrar a nada" : verificar que LXC 105 está corriendo → ssh 10.10.10.105 'systemctl status docker'
"2FA no funciona" : sincronizar hora del servidor con NTP → timedatectl set-ntp true
Para el arquitecto (diseño previsto)
Relaciones con otros servicios
flowchart LR
NetBird[NetBird VPN] -->|Autentica vía OIDC| Authentik[Authentik LXC 105]
Caddy[Caddy LXC 102] -->|forward_auth en cada servicio| Authentik[Authentik LXC 105]
Authentik[Authentik LXC 105] -->|Provee OAuth2/OIDC| Servicios[Todos los servicios]
Servicios[Todos los servicios] -->|Redirige al login| Authentik[Authentik LXC 105]
Configuración de red
Bridge
Puerto
Acceso desde
vmbr1
9000
API (interfaz de programación) — Caddy (LXC 102)
vmbr1
9443
Web — Caddy (LXC 102)
En Pi-hole
authentik.sc → 10.10.10.105
En Caddy
authentik.sc {
reverse_proxy 10.10.10.105:9443
}
En Authentik
Provider
OAuth2 / OIDC
Grupos asignados
familia / empresa / admin / finca
Orquestación
Componente
Path
Rol Ansible
roles/authentik/
Playbook
deploy-authentik.yml
Módulo OpenTofu
modules/authentik/
Semaphore
Proyecto authentik, Template deploy
Forgejo Actions
.forgejo/workflows/authentik.yml
Repo Forgejo
infra-core/
Ficha versionada
docs/fichas/programas/authentik.md
Secciones relacionadas
🌐 Enlaces de interés
Sitio oficial · Documentación · GitHub