📍 المقالة الرئيسية: Vaultwarden 2026.
أن يكون لديك 12 خدمة داخلية (Vaultwarden، Forgejo، Grafana، Uptime Kuma، n8n، NocoDB، Plausible، Outline، Penpot، Listmonk، Mailcow، Coolify) وكلمة سر مختلفة لكل خدمة لكل زميل، هو جحيم تشغيلي.
مع Authelia في الواجهة، يصبح كل ذلك تسجيل دخول واحد لكل مستخدم، مع MFA مركزي.
المتطلبات
- Vaultwarden منشور وفاعل.
- VPS Linux مع Docker وCaddy أو Traefik.
- المستوى: متقدم.
- الوقت: 1 إلى 2 ساعة.
الخطوة 1 — فهم المعمارية
Authelia خادم مصادقة بـ Go يعمل في وضعين: forward authentication (Authelia يصادق كل طلب HTTP عبر reverse proxy) وOIDC provider.
المخطط: المستخدم → Caddy → Authelia → Vaultwarden إذا تم التحقق.
الخطوة 2 — تثبيت Authelia
services:
authelia:
image: authelia/authelia:4.39
volumes:
- ./config:/config
environment:
- TZ=Africa/Dakar
networks:
- proxy
redis:
image: redis:7-alpine
networks:
- proxy
networks:
proxy:
external: trueالخطوة 3 — تكوين Authelia
theme: dark
default_redirection_url: https://vault.votre-entreprise.com
server:
host: 0.0.0.0
port: 9091
authentication_backend:
file:
path: /config/users_database.yml
access_control:
default_policy: deny
rules:
- domain: vault.votre-entreprise.com
policy: two_factor
subject: "group:vault-users"
session:
domain: votre-entreprise.com
expiration: 12h
redis:
host: authelia-redis
notifier:
smtp:
host: smtp-relay.brevo.com
port: 587
totp:
issuer: votre-entreprise.comالخطوة 4 — قائمة المستخدمين
users:
amadou:
displayname: "Amadou Diop"
password: "$argon2id$v=19$..."
email: amadou@votre-entreprise.com
groups:
- vault-users
- adminsالخطوة 5 — تكوين Caddy
auth.votre-entreprise.com {
reverse_proxy authelia:9091
}
vault.votre-entreprise.com {
forward_auth authelia:9091 {
uri /api/verify?rd=https://auth.votre-entreprise.com
}
reverse_proxy vaultwarden:80
}الخطوة 6 — تكوين MFA TOTP
عند أول تسجيل دخول، يرسل Authelia بريداً برابط تفعيل MFA. المستخدم يمسح QR code بـ Aegis أو Authy، يدخل رمز 6 أرقام.
الخطوة 7 — التحقق من النهاية إلى النهاية
- افتح متصفح في وضع incognito.
- اذهب إلى vault.votre-entreprise.com.
- سترى إعادة التوجيه إلى auth.votre-entreprise.com.
- أدخل login + كلمة سر + رمز TOTP.
- عُد إلى Vaultwarden، يطلب منك Master Password.
حالة خاصة: عملاء mobile وdesktop
تطبيقات Bitwarden mobile وdesktop لا تعرف صفحة web Authelia. يجب استثناء مسارات API:
vault.votre-entreprise.com {
@api path /api/* /identity/* /icons/* /attachments/* /notifications/*
reverse_proxy @api vaultwarden:80
forward_auth authelia:9091 {
uri /api/verify?rd=https://auth.votre-entreprise.com
}
reverse_proxy vaultwarden:80
}الأخطاء الشائعة
| الخطأ | السبب | الحل |
|---|---|---|
| حلقة إعادة توجيه لا نهائية | Cookie domain صارم جداً | session.domain على النطاق الأم |
| رمز TOTP غير صالح دائماً | ساعة الخادم منحرفة | تفعيل NTP |
| Authelia يرفض كل تسجيل دخول | هاش كلمة سر غير متناسق | إعادة توليد بـ authelia hash-password |
التكيف مع السياق
ثلاث نقاط. زمن استجابة بريد الاسترداد: Brevo و Resend سريعان عبر Gmail. اتصالات متقطعة: Authelia يخزن جلسات لمدة 12 ساعة. التكلفة: Authelia + Redis يضيف ~50 MB RAM، بدون تأثير محسوس على Hetzner CX22.
دروس مرتبطة
للاستزادة
- 🔝 المرجع: الدليل الكامل Vaultwarden 2026