From 6c61ad38606cc85d18496646841edcbbca5afbdc Mon Sep 17 00:00:00 2001 From: Micha Date: Sat, 6 Jun 2026 12:53:20 +0200 Subject: [PATCH] authelia: Repo-Baseline an Host-2FA-Endzustand angleichen Expliziten 2FA-Block auf files/scrutiny reduziert (borg/code sind via Catch-all *.kaleschke.info=two_factor weiterhin 2FA). Damit matcht die Repo-access_control-Sektion den Host-Stand -> authelia-diff.sh wird clean, sobald der Host-Repo-Mirror auf diesen Commit gezogen ist. Co-Authored-By: Claude Opus 4.8 --- security/authelia/configuration.yml | 8 ++++---- 1 file changed, 4 insertions(+), 4 deletions(-) diff --git a/security/authelia/configuration.yml b/security/authelia/configuration.yml index 1a58e2c..4713535 100644 --- a/security/authelia/configuration.yml +++ b/security/authelia/configuration.yml @@ -41,17 +41,17 @@ access_control: - git.kaleschke.info policy: bypass - # Admin-Dienste - 2FA erforderlich (Operator-UIs mit Host-/Backup-Zugriff) + # Expliziter 2FA-Block (Tier-1-Operator-UIs). Redundant, seit die Catch-all + # unten ohnehin alles auf two_factor zwingt - bleibt nur zur Lesbarkeit. + # borg/code brauchen hier keinen Eintrag mehr: sie sind via Catch-all 2FA. - domain: - files.kaleschke.info - scrutiny.kaleschke.info - - borg.kaleschke.info - - code.kaleschke.info policy: two_factor # Alles andere mit Authelia-Middleware - 2FA (Haertung 2026-06-06). # Vorher one_factor; alle restlichen Admin-UIs (monitoring, glances, glance, - # speedtest, pdf, mail, paperless-gpt, hermes, sp ...) sind damit two_factor. + # speedtest, pdf, mail, paperless-gpt, hermes, sp, borg, code ...) sind damit two_factor. # Voraussetzung: Operator-Account hat Authelia-TOTP enrolled (Tier-1-UIs nutzen es bereits). # Komodo hat bewusst keine ForwardAuth-Middleware und wird hier nicht ausgewertet. - domain: "*.kaleschke.info"