gitops/apps/authentik/VAULT_SETUP.md

Vault Secrets für Authentik anlegen

Authentik benötigt Secrets für die Datenbank, Redis und seinen eigenen Encryption Key.

# Umgebungsvariablen für Vault
export VAULT_ADDR='https://10.100.30.11:8200'
export VAULT_TOKEN='DeinRootToken' # Ersetzen!
export VAULT_CACERT='./vault-ca.crt'

# 1. Passwörter generieren
PG_PASS=$(openssl rand -hex 16)
REDIS_PASS=$(openssl rand -hex 16)
SECRET_KEY=$(openssl rand -hex 32)
BOOTSTRAP_TOKEN=$(openssl rand -hex 16) # Token für ersten Admin-Login (ak-admin)

# 2. Email Passwort (Optional, sonst leer lassen)
EMAIL_PASS="supersecret"

# 3. In Vault schreiben
vault kv put secret/apps/authentik \
    postgres_password="$PG_PASS" \
    redis_password="$REDIS_PASS" \
    secret_key="$SECRET_KEY" \
    bootstrap_token="$BOOTSTRAP_TOKEN" \
    email_password="$EMAIL_PASS"

echo "Dein Bootstrap Token für den ersten Login: $BOOTSTRAP_TOKEN"

Erster Login

1. Öffne https://auth.apps.k3s.stabify.de/if/flow/initial-setup/
2. Logge dich mit User ak-admin und dem BOOTSTRAP_TOKEN ein (oder setze dort das Passwort).

Outline Integration

Nachdem Authentik läuft:

1. Erstelle im Authentik Admin Interface einen Provider (OAuth2/OpenID) für Outline.
   • Redirect URI: https://kb.apps.k3s.stabify.de/auth/oidc.callback
2. Erstelle eine Application "Outline" und verknüpfe den Provider.
3. Kopiere Client ID und Client Secret aus Authentik.
4. Update die Outline Secrets in Vault:

   vault kv patch secret/apps/outline \
       oidc_client_id="<Client-ID-aus-Authentik>" \
       oidc_client_secret="<Client-Secret-aus-Authentik>" \
       oidc_auth_uri="https://auth.apps.k3s.stabify.de/application/o/authorize/" \
       oidc_token_uri="https://auth.apps.k3s.stabify.de/application/o/token/" \
       oidc_userinfo_uri="https://auth.apps.k3s.stabify.de/application/o/userinfo/"
   

5. Restart Outline Pods.