From c7eed6bdadfe2a5bcbfd127e6ccae50ca6990dce Mon Sep 17 00:00:00 2001 From: Micha Date: Sat, 6 Jun 2026 12:55:23 +0200 Subject: [PATCH] todo: Authelia Rest-2FA als komplett erledigt markieren (Host-Merge + 2FA-Login verifiziert) Co-Authored-By: Claude Opus 4.8 --- docs/MASTER_TODO.md | 3 +-- 1 file changed, 1 insertion(+), 2 deletions(-) diff --git a/docs/MASTER_TODO.md b/docs/MASTER_TODO.md index 7405ce0..19d3d3f 100644 --- a/docs/MASTER_TODO.md +++ b/docs/MASTER_TODO.md @@ -26,7 +26,6 @@ Host-/Entscheidungsaufgaben beim **Operator**. | Family-Onboarding erster Termin | Operator | Checkliste ist fertig (`docs/FAMILY_ONBOARDING.md` Abschnitt "Erster Onboarding-Termin"). Operator legt fest, welche Personen/Geraete real verfuegbar sind, und arbeitet die Reihenfolge Vaultwarden -> Immich -> Mealie pro Person ab | `docs/FAMILY_ONBOARDING.md`, `docs/AUDIT_2026-05-25_TODO.md` | | Restore-Test Unraid OS Flash (Stick-Boot) | Operator | Artefakt-Validierung am 2026-06-05 erledigt (`ops/maintenance/check-unraid-flash-backup.sh`, sha256 OK, 8 Kern-Configs). **Verbleibt:** physischer Ersatzstick-Boot-Test, wenn ein Wegwerf-Stick bereitliegt | `docs/RESTORE_MATRIX.md` Abschnitt "Unraid OS Flash" | | Restore-Test Tailscale | Operator | Runbook-Stub abarbeiten: State-Validierung + Reconnect nur auf Wegwerf-Host/VM, danach Geraet in Tailscale-Admin entfernen | `docs/RESTORE_MATRIX.md` Abschnitt "Tailscale" | -| Authelia: alle restlichen UIs auf 2FA (Host-Merge) | Operator | **Repo-Teil erledigt 2026-06-06** (Catch-all `*.kaleschke.info` -> `two_factor` in `security/authelia/configuration.yml`). Verbleibt Host-Schritt: Aenderung in `/mnt/user/appdata/authelia/config/configuration.yml` mergen (OIDC-/IdP-Sektionen erhalten), `docker restart authelia`, Login-Smoke auf einer Admin-Domain, `services/authelia-diff.sh` muss `exit 0` liefern. Voraussetzung: Operator-TOTP enrolled (ist es) | `docs/WORKFLOW.md` Abschnitt "Authelia configuration.yml", `security/authelia/configuration.yml` | | Authelia OIDC fuer Apps (Start) | Operator/Claude | Entscheidung 2026-06-06: **angehen.** Erster Schritt: SSO-Scope festlegen (welche Apps zuerst: z. B. Nextcloud, Immich, Mealie), pro App OIDC-Client-ID/-Secret-Schema und Redirect-URIs planen, Authelia `identity_providers.oidc`-Clients als Repo-Baseline entwerfen. Groesserer Block, eigener Aenderungs-/Test-Zyklus | `docs/AUDIT_2026-05-25_TODO.md`, `security/authelia/configuration.yml` | | Gast-/IoT-Netz einrichten | Operator | Entscheidung 2026-06-06: **aktivieren/planen.** Reihenfolge: (1) **zuerst** LAN-Admin-Ports (`192.168.178.58:8082` AdGuard, weitere) per FRITZ!Box-Netzwerkfilter/Kindersicherung gegen das Gastsegment sperren, (2) dann Gast-WLAN/IoT in der FRITZ!Box aktivieren, (3) Trennung verifizieren (Gastgeraet darf LAN-Admin nicht erreichen) | `docs/NETWORK_INVENTORY.md` | @@ -99,7 +98,7 @@ Wartet auf ein externes Ereignis oder eine Abhaengigkeit. - **BitLocker `baerchen`: bewusst deaktiviert.** Recovery laeuft ueber Veeam-Image; kein BitLocker-Key-Management. Restrisiko physischer Diebstahl bewusst akzeptiert. - **Veeam Storage Encryption: bewusst unverschluesselt.** Erster Full-Lauf bleibt; Image liegt auf dem lokalen SMB-Share `\\kallilabcore\backups`. Neu bewerten bei Off-host-Auslagerung des Images. - **Stromverbrauch: bewusst ohne Messung.** Kein Messgeraet; Werte bleiben dauerhaft offen, kein Beschaffungs-Todo mehr. - - **Authelia Rest-2FA: alle restlichen UIs auf 2FA gehoben** (Repo-Teil erledigt, Catch-all `*.kaleschke.info` -> `two_factor`); Host-Merge als aktiver Schritt offen. + - **Authelia Rest-2FA: KOMPLETT erledigt 2026-06-06.** Catch-all `*.kaleschke.info` -> `two_factor` in Repo **und** Host-Config (chirurgische Einzelzeilen-Aenderung mit Backup, OIDC-Beszel-Client + Secret unangetastet), `docker restart authelia` -> healthy + "Startup complete", Operator-2FA-Login auf einer vorher-1FA-Domain verifiziert. Nebenbei vorbestehenden Drift gefunden+bereinigt (Host-Config war vom 25. Mai, borg/code nie gemerged); Repo-Baseline an Host-Endzustand angeglichen, damit `authelia-diff.sh` clean wird sobald der Host-Mirror nachzieht. Rollback-`.bak` auf dem Host vorhanden. - **Authelia OIDC: angehen** (neuer aktiver Block) — **Gast-/IoT-Netz: einrichten/planen** (neuer aktiver Block) — **Nextcloud 2FA: geparkt** bis OIDC die App-Login-Ebene erreicht. ---