Protect Traefik dashboard with Authelia

Protect Traefik dashboard with Authelia

HOMELAB_ARCHITECTURE_MASTER_V2.md

@@ -336,7 +336,7 @@ labels:
 - `tls=true` immer explizit setzen
 - wenn Traefik aktiv ist, werden direkte Host-Ports entfernt
 - Admin-Dienste standardmaessig nicht ohne Middleware veroeffentlichen
-- `dashboard-auth@file` bleibt fuer das Traefik-Dashboard reserviert; dokumentierte Ausnahmen wie `Komodo` bleiben moeglich
+- Das Traefik-Dashboard nutzt ebenfalls `authelia@file`; dokumentierte Ausnahmen wie `Komodo` bleiben moeglich
 - **File-Provider nur noch für:** `middlewares.yml`, `tls.yml`, `dashboards.yml` — keine Service-Routen mehr via File-Provider
 - dokumentierte Ausnahmen muessen in Abschnitt 10 begruendet werden
 

docs/MIGRATION_LOG.md

@@ -44,6 +44,7 @@ Dieses Dokument ist nur noch ein historischer Verlauf. Der aktuelle operative Ab
 ### 2026-04-17 - Sicherheits- und Doku-Abgleich
 
 - `code-server` hinter `authelia@file,secure-headers@file` abgesichert.
+- Traefik-Dashboard von `dashboard-auth@file` auf `authelia@file,secure-headers@file` umgestellt; BasicAuth-Hash aus dem Repo entfernt.
 - Redis von Klartext in der Compose auf Secret-Datei unter `/mnt/user/appdata/secrets/redis_password.txt` umgestellt.
 - Redis-Passwort bewusst **nicht** rotiert; Live-Passwort bleibt vorerst unveraendert.
 - `mail-archiver` in der Architektur-Doku an den realen Traefik-Betrieb angepasst.

ops/komodo/docker-compose.yml

@@ -28,7 +28,7 @@ services:
   # ──────────────────────────────────────────────────────────────────
   # Komodo Core – Management-UI (Portainer-Ersatz)
   # Netz: frontend_net (Traefik) + komodo_net (MongoDB/Periphery)
-  # Admin-Dienst: dashboard-auth@file + secure-headers@file Pflicht
+  # Admin-Dienst: bewusst ohne pauschale ForwardAuth-Middleware; dokumentierte Ausnahme
   # ──────────────────────────────────────────────────────────────────
   komodo-core:
     image: ghcr.io/mbecker20/komodo:latest@sha256:d0a201fdf7113b7a47fe925e0a8a9c337f632980a27f151729030f05e99e22c0

traefik/docker-compose.yml

@@ -47,7 +47,7 @@ services:
       - traefik.http.routers.traefik.tls=true
       - traefik.http.routers.traefik.tls.certresolver=le
       - traefik.http.routers.traefik.service=api@internal
-      - traefik.http.routers.traefik.middlewares=dashboard-auth@file,secure-headers@file
+      - traefik.http.routers.traefik.middlewares=authelia@file,secure-headers@file
      
     dns:
       - 1.1.1.1

traefik/dynamic/middlewares.yml

@@ -1,10 +1,6 @@
 # traefik/dynamic/middlewares.yml
 http:
   middlewares:
-    dashboard-auth:
-      basicAuth:
-        users:
-          - "admin:$apr1$g4oZDj2C$EKV1bTs/BPcj4PrgVTl.J."
     secure-headers:
       headers:
         sslRedirect: true