Authentik in Kombination mit traefik

In der Wunschliste wurde ein Tutorial für authentik gewünscht. Ich habe bei mir auf dem Server schon mit Authelia experimentiert. Parallel dazu wollte ich auch mit authentik experimentieren und habe mich des Themas angenommen. Die Dokumentation von authentik ist zwar super (damit konnte ich dann ohne Probleme später das Benutzer- und Gruppenmanagement regeln), aber bei der Integration in mein traefik-Setup bin ich mit der offiziellen Dokumentation gescheitert. Nach einer Google-Recherche bin ich dann auf die Seite von IBRACORP gestoßen. Die dortige Anleitung hat dann zusammen mit meinem traefik-Wissen aus dem traefik-Setup-Beitrag hier sowie der offiziellen Dokumentation zum Erfolg geführt.

Wichtige Info

Diese Anleitung funktioniert nicht komplett. Es lässt sich aber korrekt Authentik starten und einrichten. Wer den Fehler findet, warum später die Authentifizierung nicht korrekt verläuft, kann dies bitte in den Kommentaren teilen.

Ich habe die Anleitung angepasst der Hinweis oben ist dahingehend nicht mehr Relevant. Außerdem wurde in der neueste Version 2025.10 von Authentik der Redis Container entfernt. Dieses ist angepasst. Der Rest der Anleitung bleibt gleich.

0. Versionierung

1. Voraussetzungen

• Docker & Docker Compose v2 (Debian / Ubuntu)
• Traefik V3 Installation, Konfiguration und CrowdSec-Security

2. Authentik im Stack vorbereiten

2.0 Verzeichnis anlegen

mkdir -p /opt/containers/authentik/ && cd /opt/containers/authentik

2.1. DOTENV Konfiguration

Nachfolgend die ersten Schritte:

echo "PG_PASS=$(openssl rand -base64 36 | tr -d '\n')" >> .env
echo "AUTHENTIK_SECRET_KEY=$(openssl rand -base64 60 | tr -d '\n')" >> .env
echo "AUTHENTIK_ERROR_REPORTING__ENABLED=true" >> .env

Zusätzlich habe ich noch meinen STMP-Server dem .env File zugefügt:

# SMTP Host Emails are sent to
AUTHENTIK_EMAIL__HOST=localhost
AUTHENTIK_EMAIL__PORT=25
# Optionally authenticate (don't add quotation marks to your password)
AUTHENTIK_EMAIL__USERNAME=
AUTHENTIK_EMAIL__PASSWORD=
# Use StartTLS
AUTHENTIK_EMAIL__USE_TLS=false
# Use SSL
AUTHENTIK_EMAIL__USE_SSL=false
AUTHENTIK_EMAIL__TIMEOUT=10
# Email address authentik will send from, should have a correct @domain
AUTHENTIK_EMAIL__FROM=authentik@localhost

2.2. docker-compose.yml

Als nächstes folgt die docker-compose.yml Datei:

nano docker-compose.yml

services:

  postgresql:
    image: docker.io/library/postgres:16-alpine
    restart: unless-stopped
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -d $${POSTGRES_DB} -U $${POSTGRES_USER}"]
      start_period: 20s
      interval: 30s
      retries: 5
      timeout: 5s
    volumes:
      - database:/var/lib/postgresql/data
    environment:
      POSTGRES_PASSWORD: ${PG_PASS:?database password required}
      POSTGRES_USER: ${PG_USER:-authentik}
      POSTGRES_DB: ${PG_DB:-authentik}
    env_file:
      - .env
    networks:
      - default

  server:
    image: ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:2025.10
    restart: unless-stopped
    command: server
    container_name: authentik-server
    environment:
      AUTHENTIK_SECRET_KEY: ${AUTHENTIK_SECRET_KEY:?secret key required}
      AUTHENTIK_POSTGRESQL__HOST: postgresql
      AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik}
      AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik}
      AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS}
    volumes:
      - ./media:/media
      - ./custom-templates:/templates
    env_file:
      - .env
    depends_on:
      postgresql:
        condition: service_healthy
    labels:
      - "traefik.enable=true"
      
      # Main Authentik Interface Router
      - "traefik.http.routers.authentik.entryPoints=websecure"
      - "traefik.http.routers.authentik.rule=Host(`authentik.euredomain.de`)"
      - "traefik.http.routers.authentik.tls=true"
      - "traefik.http.routers.authentik.tls.certresolver=http_resolver"
      - "traefik.http.routers.authentik.service=authentik"
      - "traefik.http.routers.authentik.priority=10"
      - "traefik.http.services.authentik.loadbalancer.server.port=9000"
      
      # ForwardAuth/Outpost Router - CRITICAL FOR FORWARD AUTH
      - "traefik.http.routers.authentik-outpost.entryPoints=websecure"
      - "traefik.http.routers.authentik-outpost.rule=HostRegexp(`{subdomain:[a-z0-9-]+}.euredomain.me`) && PathPrefix(`/outpost.goauthentik.io/`)" #hier euredomain.de ersetzen
      - "traefik.http.routers.authentik-outpost.tls=true"
      - "traefik.http.routers.authentik-outpost.priority=15"
      - "traefik.http.routers.authentik-outpost.service=authentik-outpost"
      - "traefik.http.services.authentik-outpost.loadbalancer.server.port=9000"
      
      # Ensure Traefik uses the proxy network
      - "traefik.docker.network=proxy"
    networks:
      - proxy
      - default

  worker:
    image: ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:2025.10
    restart: unless-stopped
    container_name: authentik-worker
    command: worker
    environment:
      AUTHENTIK_SECRET_KEY: ${AUTHENTIK_SECRET_KEY:?secret key required}
      AUTHENTIK_POSTGRESQL__HOST: postgresql
      AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik}
      AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik}
      AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS}
    user: root
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./media:/media
      - ./certs:/certs
      - ./custom-templates:/templates
    env_file:
      - .env
    depends_on:
      postgresql:
        condition: service_healthy
    networks:
      - proxy
      - default

volumes:
  database:
    driver: local

networks:
  proxy:
    external: true
  default:
    driver: bridge

Notwendige Änderungen:

• Hier müsst ihr noch 2x die Domain von euredomain.de auf eure Domain (traefik.http.routers.authentik.rule und bei traefik.http.routers.authentik-outpost.rule) ändern

3. Stack starten

Nachdem nun alles vorbereitet ist, wird alles mit docker compose up -d gestartet.

docker compose up -d

Nachdem die Container sauber gestartet sind, kann das initiale Setup im Browser fortgesetzt werden: https://auth.euredomain.de/if/flow/initial-setup/. Das letzte “/” ist wichtig, da es sonst nicht klappt.

4. authentik konfigurieren

4.1. Provider

Da zwischen Application und Provider immer eine 1-zu-1 Beziehung besteht, brauchen wir für unsere Anwendung (hier im Beispiel wird es das Traefik-Dashboard) entsprechend zunächst einen Traefik-Provider (Seit der Version 2023.5 gehen wohl auch 1-zu-N Beziehungen, aber damit habe ich mich noch nicht beschäftigt).

Nachdem wir nun als Admin im authentik-Backend angemeldet sind, legen wir als erstes einen neuen Provider an: Applications => Provider => Create => Proxy Provider

Als Namen habe ich traefik-forwardauth gewählt. Beim Autorisierungsablauf habe ich default-provider-authorization-explicit-consent ausgewählt.
Im zweiten Teil der Konfiguration habe ich Authentifizierung weiterleiten (Domänenebene) ausgewählt. Als URL zur Authentifizierung kommt hier Authentik hin. Die Cookie-Domain ist hier in dem Fall euredomain.de.

Als Erweiterte Protokolleinstellungen müssen die Settings wie Folgt gesetzt sein.

4.2. Applications

Im Anschluss habe ich eine neue Application erstellt: Anwendungen => Anwendungen => Erstellen

Als Name habe ich hier Traefik Dashboard gewählt. Als Provider (Schnittstellen) den zuvor erstellten Forward Auth Provider.

4.3. Outposts

Last but not least musste ich dann noch unter Anwendungen => Outposts den vorhandenen Embedded Outpost bearbeiten.
Die Integration habe ich auf Local Docker connection gestellt und bei den Anwendungen habe ich die neu erstellte Anwendung Traefik Dashboard markiert.
Zusätzlich muss noch das docker_network in der Konfiguration von null auf proxy geändert werden!
Den Outpost noch flugs mit einem Klick auf aktualisieren gespeichert und damit ist die Konfiguration im authentik-Backend soweit fertig.

5. traefik anpassen

Als nächster Schritt müssen wir eine neue Middleware für traefik anlegen.

nano /opt/containers/traefik-crowdsec-stack/data/traefik/dynamic_conf/http.middlewares.authentik.yml

http:
  middlewares:
    authentik:
      forwardauth:
        address: https://auth.euredomain.de/outpost.goauthentik.io/auth/traefik
        trustForwardHeader: true
        authResponseHeaders:
          - X-authentik-username
          - X-authentik-groups
          - X-authentik-email
          - X-authentik-name
          - X-authentik-uid
          - X-authentik-jwt
          - X-authentik-meta-jwks
          - X-authentik-meta-outpost
          - X-authentik-meta-provider
          - X-authentik-meta-app
          - X-authentik-meta-version

Hier müsst ihr noch eure Domain anpassen.

Als letzten Konfigurationsschritt wird nun die traefikAuth Middleware durch die authentik Middleware ersetzt.

nano /opt/containers/traefik-crowdsec-stack/compose/traefik.yml

Vorher:
traefik.http.routers.traefik-dashboard.middlewares: traefik-dashboard-auth@file

Nachher:
traefik.http.routers.traefik-dashboard.middlewares: authentik@file

Nun noch abschließend traefik mit docker compose up -d --force-recreate neu starten

cd /opt/containers/traefik-crowdsec-stack
docker compose up -d --force-recreate

und anschließen auf https://traefik.deine-domain.de wechseln. Wenn bis hier nichts schief gegangen ist, wird man nun zunächst auf die Loginseite von authentik geleitet und erst nach dem Login auf das Dashboard zurückgeleitet.

6. Optionales

6.1. Benutzer und Gruppen

Am Beispiel eines zusätzlichen WhoAmI-Containers zeige ich noch, wie authentik für verschiedene Benutzer und Gruppen eingerichtet wird. Dazu erstelle ich für dieses Beispiel unter Directory => Users zwei neue Benutzer: traefik und whoami. Zusätzlich erstelle ich unter Directory => Groups die passenden Gruppen: traefik und whoami.

Wie ihr einen neuen WhoAmI-Container mit traefik-Anbindung anlegt, beschreibe ich jetzt mal nicht. Da gehe ich mal einfach davon aus, dass ihr das schon wisst.

Aber wir brauchen noch einen passenden WhoAmI-Provider sowie eine WhoAmI-Application. Diese werden analog wie oben im Traefik-Beispiel angelegt.

Noch weise ich keiner der beiden Applications einen Benutzer oder eine Gruppe zu. Damit müsste dann in einem Inkognito-Browser-Fenster mit beiden Benutzern der Zugriff auf beide Seiten gestattet sein.

Als nächstes schränken wir das Traefik-Dashboard und die WhoAmI-Seite für die beiden Benutzer ein. Dazu klickt Ihr unter Applications => Applications auf den Namen der jeweiligen Application und wechselt auf den Reiter Policy/Group/User Bindings.
Nach einem klick auf Create Binding wähle ich als Typ User und wähle für die jeweilige Application den passenden Benutzer.

Anschließend sollte der Benutzer whoami nur noch Zugriff auf die WhoAmI-Seite haben und der Benutzer traefik nur noch Zugriff auf das Traefik-Dashboard haben.

Als letztes testen wir die Gruppen. Zunächst weisen wir unter Directory => Users den jeweiligen Benutzern traefik und whoami die korrespondierenden Gruppen zu. Anschließend wechseln wir wieder in die Ansicht mit den Application Bindings. Dort bearbeiten wir das vorhandene Binding und stellen es auf den Typ Group mit dem passenden Gruppennamen um.

Am Zugriffsverhalten darf sich (noch) nichts geändert haben.

Wenn wir nun aber den Benutzer traefik auch noch in die Gruppe whoami stecken, darf dieser Benutzer auch die WhoAmI-Seite sehen. Umgekehrt darf der whoami-Benutzer weiterhin nicht das Traefik-Dashboard öffnen!

Zum Abschluss noch zwei wichtige Bemerkungen! Wenn Ihr hier mit User- oder Group-Bindings arbeitet, dann könnt Ihr auch Euren Admin-User vom Aufruf aussperren. Sprich, mein Admin Benutzer hat mit der obigen Konfiguration weder Zugriff auf das Traefik-Dashboard noch auf die Who-am-i-Seite. Am besten definiert Ihr Euch also für Eure Anwendungen jeweils Gruppen und weist Eurem Admin Benutzer die jeweiligen Gruppen zu und nutzt nur das Group-Binding. Damit sperrt Ihr Euch dann nicht von den einzelnen Anwendungen aus.
Und wenn Ihr zu schnell mit den Loginversuchen seit, werdet Ihr von crowdsec temporär gebannt. Also nicht zu schnell hintereinander den Login testen (oder zumindest eine Notfall-SSH-Verbindung zu Eurem Server offen haben, womit Ihr Eure IP Adresse wieder entsperren könnt).