Docker Traefik Middleware Passwort Schutz: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(9 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=Funktion=
+
[[Kategorie:Docker]]
*Bevor die Anfrage vom Client an den Server geleitet wird, muss dieser sich Anmelden
+
[[Kategorie:Traefik]]
*Die Zugangsdaten können entweder in eine Enviroment File, oder direkt in die docker-compose File geschrieben werden
+
= Funktion =
*Die Passwörter müssen mit einem der folgenden Hashes MD5, SHA1, or BCrypt gehasht werden.
+
* Bevor die Anfrage vom Client an den Server geleitet wird, muss dieser sich anmelden
 +
* Die Zugangsdaten können entweder in ''docker-compose.yml'' geschrieben oder in eine andere Datei ausgelagert werden
 +
* Die Passwörter müssen mit MD5, SHA1, or BCrypt gehasht werden.
  
=Beispiel=
+
= Passwort-Hashes =
 +
* Der einfachste Weg für die Generation der Passwort-Hashes ist '''htpasswd''', welches im Paket '''apache2-utils''' enthalten ist
 +
* '''apt install apache2-utils'''
 +
* Falls $-Zeichen im Hash auftauchen, müssen diese durch ein weiteres $ in YAML entwertet werden
 +
* '''echo $(htpasswd -nB ''user'') | sed -e "s/\\$/\\$\\$/g"'''
  
==Passwort Hashen==
+
= Benutzer und Passwort in ''docker-compose.yml'' =
echo $(htpasswd -nB user) | sed -e s/\\$/\\$\\$/g
+
* Damit Traefik weiß, dass die Basic-Auth-Middleware benutzt werden soll, muss der Container/Service das Label tragen
 +
* Die Middleware muss dann einem Router zugewiesen werden
 +
* '''cd ''/pfad/zum/dienst'' '''
 +
* '''vim ''docker-compose.yml'' '''
  
==Normale Traefik Konfiguration==
+
<syntaxhighlight lang="yaml">
<syntaxhighlight>
+
version: "3"
      - com.ouroboros.enable=true
+
services:
      - "traefik.enable=true"
+
  whoami:
      - "traefik.http.services.smokeping.loadbalancer.server.port=80"
+
    image: traefik/whoami
      - "traefik.http.routers.smokeping-secured.rule=Host(`your-domain.com`)"
+
labels:
      - "traefik.http.routers.smokeping-secured.entrypoints=websecure"
+
  - "traefik.http.routers.whoami.rule=Path(`/whoami`)"
      - "traefik.http.routers.smokeping-secured.tls=true"
+
  - "traefik.http.middlewares.my-auth.basicauth.users=user1:passwort-hash,user2:passwort-hash"
 +
  - "traefik.http.routers.whoami.middlewares=my-auth"
 
</syntaxhighlight>
 
</syntaxhighlight>
  
==Traefik Konfiguration mit Basic-Auth Middleware==  
+
= Benutzer und Passwort separat =
<syntaxhighlight>
+
== Auf Docker-Host ==
      - com.ouroboros.enable=true
+
* '''cd ''/pfad/zum/dienst'' '''
      - "traefik.enable=true"
+
* '''vim ''docker-compose.yml'' '''
      - "traefik.http.middlewares.fa-fo.basicauth.users=admin:$$2y$$05$$PYbicECOqqefGM4UC7OgUe0LP0csKkVuFKvN.hsJ2xqEn.9cbJF/."
+
 
      - "traefik.http.services.smokeping.loadbalancer.server.port=80"
+
<syntaxhighlight lang="yaml">
      - "traefik.http.routers.smokeping-secured.rule=Host(`your-domain.com`)"
+
version: "3"
      - "traefik.http.routers.smokeping-secured.middlewares=fa-fo"
+
services:
      - "traefik.http.routers.smokeping-secured.entrypoints=websecure"
+
  whoami:
      - "traefik.http.routers.smokeping-secured.tls=true"
+
    image: traefik/whoami
 +
labels:
 +
  - "traefik.http.routers.whoami.rule=Path(`/whoami`)"
 +
  - "traefik.http.middlewares.my-auth.basicauth.usersfile=/pfad/zur/datei"
 +
  - "traefik.http.routers.whoami.middlewares=my-auth"
 
</syntaxhighlight>
 
</syntaxhighlight>
 +
 +
== Auf Traefik-Host ==
 +
* Die Datei mit Benutzernamen und Passwort-Hashes muss nun für dem Traefik-Dienst zugänglich sein
 +
* '''htpasswd -Bc ''/pfad/zur/datei'' ''user1'' '''
 +
* '''htpasswd -B ''/pfad/zur/datei'' ''user2'' '''
 +
* Der erste Befehl benutzt '''Bcrypt''' und erstellt die Datei, falls diese noch nicht existiert
 +
* Der zweite Befehl benutzt '''Bcrypt''' und fügt zusätzlich ''user2'' hinzu
  
 
=Links=
 
=Links=
 
https://doc.traefik.io/traefik/middlewares/overview/
 
https://doc.traefik.io/traefik/middlewares/overview/

Aktuelle Version vom 15. November 2024, 10:42 Uhr

Funktion

  • Bevor die Anfrage vom Client an den Server geleitet wird, muss dieser sich anmelden
  • Die Zugangsdaten können entweder in docker-compose.yml geschrieben oder in eine andere Datei ausgelagert werden
  • Die Passwörter müssen mit MD5, SHA1, or BCrypt gehasht werden.

Passwort-Hashes

  • Der einfachste Weg für die Generation der Passwort-Hashes ist htpasswd, welches im Paket apache2-utils enthalten ist
  • apt install apache2-utils
  • Falls $-Zeichen im Hash auftauchen, müssen diese durch ein weiteres $ in YAML entwertet werden
  • echo $(htpasswd -nB user) | sed -e "s/\\$/\\$\\$/g"

Benutzer und Passwort in docker-compose.yml

  • Damit Traefik weiß, dass die Basic-Auth-Middleware benutzt werden soll, muss der Container/Service das Label tragen
  • Die Middleware muss dann einem Router zugewiesen werden
  • cd /pfad/zum/dienst
  • vim docker-compose.yml 
version: "3"
services:
  whoami:
    image: traefik/whoami
	labels:
	  - "traefik.http.routers.whoami.rule=Path(`/whoami`)"
	  - "traefik.http.middlewares.my-auth.basicauth.users=user1:passwort-hash,user2:passwort-hash"
	  - "traefik.http.routers.whoami.middlewares=my-auth"

Benutzer und Passwort separat

Auf Docker-Host

  • cd /pfad/zum/dienst
  • vim docker-compose.yml 
version: "3"
services:
  whoami:
    image: traefik/whoami
	labels:
	  - "traefik.http.routers.whoami.rule=Path(`/whoami`)"
	  - "traefik.http.middlewares.my-auth.basicauth.usersfile=/pfad/zur/datei"
	  - "traefik.http.routers.whoami.middlewares=my-auth"

Auf Traefik-Host

  • Die Datei mit Benutzernamen und Passwort-Hashes muss nun für dem Traefik-Dienst zugänglich sein
  • htpasswd -Bc /pfad/zur/datei user1
  • htpasswd -B /pfad/zur/datei user2
  • Der erste Befehl benutzt Bcrypt und erstellt die Datei, falls diese noch nicht existiert
  • Der zweite Befehl benutzt Bcrypt und fügt zusätzlich user2 hinzu

Links

https://doc.traefik.io/traefik/middlewares/overview/

Abgerufen von „http://wiki.ixheim.de/index.php?title=Docker_Traefik_Middleware_Passwort_Schutz&oldid=58445