Micha/homelab-infra
1
0
Fork 0
Code Issues 1 Pull Requests 3 Actions Packages Projects Releases Wiki Activity

Document review matrix and drift checks

Browse Source
This commit is contained in:
Micha
2026-06-26 08:29:32 +02:00
parent ad9bb40b95
commit 5fbda4989d
15 changed files with 282 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files
docs/AUTH_MATRIX.md
+7
View File
@@ -45,6 +45,8 @@ buendelt das an **einem** Ort und **verlinkt** auf die Quellen statt zu kopieren
| `n8n.kaleschke.info` | Keine pauschale Authelia (native) | Webhook-Endpunkte `/webhook/*` | Ausnahmen-Tabelle; ⚠ Middleware-Abweichung lt. policy-check |
| `plex.kaleschke.info` | Keine Authelia (native Plex) | File-Provider-Route; WAN-Port 32400 + Remote Access aus | DECISIONS 2026-05-28 |
| `home.kaleschke.info` (homeassistant) | Keine Authelia (native HA) | Traefik + `smarthome_net`; LAN-Port 8123 | Ausnahmen-Tabelle; ⚠ Middleware-Abweichung lt. policy-check |
| `dawarich.kaleschke.info` (UI) | **two_factor** | `authelia@file,secure-headers@file` (Router `dawarich`, `priority=10`) | `apps/dawarich/docker-compose.yml` Labels; Standortdaten hinter Authelia |
| `dawarich.kaleschke.info` (API-Key-Ingest-Pfade) | **Bypass/native** (App-API-Key, kein 2FA) | Router `dawarich-api` (`priority=100`) nur `secure-headers@file`, Pfade `/api/v1/{health,settings,points,tracks,owntracks,overland,traccar,...}` | `apps/dawarich/docker-compose.yml` Labels; OwnTracks/Overland/Traccar-Tracking muss ohne ForwardAuth pushen koennen (analog n8n-Webhook) |
| AdGuard-Admin | **Tailscale-only**, nicht oeffentlich | Host-Bind `100.80.98.33:8082`, kein Traefik | DECISIONS 2026-05-26 |
| `influxdb3-core` :8181 | **LAN-only** Writer (HA) | Host-Port, kein Traefik, nicht in `frontend_net` | dokumentierte Ausnahme |
@@ -60,6 +62,11 @@ buendelt das an **einem** Ort und **verlinkt** auf die Quellen statt zu kopieren
`homeassistant` sind erwartbar (native Ausnahmen). `grafana` steht **nicht** in
der Ausnahmen-Tabelle und ist als Catch-all-`two_factor` gefuehrt — die
abweichende Middleware ist live zu bestaetigen (offen).
- **Dawarich API-Key-Pfade**: Der `dawarich-api`-Router umgeht Authelia bewusst
fuer die Tracking-Ingest-Pfade (hochsensible Standortdaten). Schutz liegt allein
im Dawarich-App-API-Key. Review-Trigger = neue oeffentliche API-Pfade in der
Router-Regel oder veraendertes Risikoprofil der Standortdaten. Begruendung jetzt
auch in `HOMELAB_ARCHITECTURE_MASTER_V2.md` §10.
## Pflege