Nœud admin Proxmox : authentik et OpenBao

Le nœud admin héberge vos services de confiance : authentik (SSO/identité), OpenBao (secrets), et bientôt votre PKI interne. Ces services ne doivent pas dépendre du cluster applicatif qu’ils sécurisent, d’où un serveur séparé.

Ce guide ne décrit pas encore la plateforme finale. Il documente la mise en place du premier nœud de confiance du homelab, dans l’architecture actuelle, avant l’arrivée du cluster applicatif et de la segmentation réseau avancée.

État actuel du déploiement

Ce guide décrit la mise en place du premier nœud admin dans l’état actuel du homelab :

• OPNsense est déjà en place
• le réseau repose encore sur un LAN principal en 192.168.10.0/24
• la segmentation VLAN viendra dans une étape suivante
• ce nœud Proxmox sert d’abord à héberger authentik et OpenBao

Pourquoi un nœud admin séparé ?

Le problème de la dépendance circulaire

Imaginez cette situation :

1. Votre cluster Kubernetes Talos héberge authentik
2. authentik gère l’accès à ArgoCD, Vault, et aux autres apps
3. Le cluster plante ou doit être recréé
4. → Vous ne pouvez plus vous authentifier nulle part
5. → Impossible de redéployer quoi que ce soit

Solution : les services de confiance vivent en dehors du cluster applicatif.

Architecture à 2 couches

Prérequis

Élément	Recommandation
Machine physique	Mini-PC avec 16-32 Go RAM, 256+ Go SSD, AMD Ryzen ou Intel N100+
Réseau	OPNsense opérationnel avec un LAN principal en 192.168.10.0/24 et un accès distant validé (voir guide précédent)
Stockage	Idéalement un SSD dédié pour les VMs (séparé de l’OS)

Glissez pour voir

Ressources recommandées

Pour faire tourner authentik + OpenBao + quelques conteneurs de support, comptez :

• CPU : 4 cœurs suffisent pour démarrer
• RAM : 12-16 Go minimum (authentik est gourmand)
• Stockage : 100 Go pour commencer

Avec 32 Go de RAM, vous avez de la marge pour ajouter des services.

Étape 1 : Installer Proxmox VE

Proxmox VE est un hyperviseur basé sur Debian. Il vous permet de créer des VMs et des conteneurs LXC depuis une interface web.

Installation express

1. Téléchargez l’ISO sur proxmox.com/downloads

2. Créez une clé USB bootable

   sudo dd if=proxmox-ve_*.iso of=/dev/sdX bs=4M status=progress

3. Installez Proxmox VE

   • Bootez sur la clé USB
   • Choisissez le disque cible (SSD principal)
   • Configurez le hostname : proxmox-admin.lab.local
   • IP sur le LAN actuel : 192.168.10.10/24
   • Gateway : 192.168.10.1 (OPNsense)

4. Accédez à l’interface web

   https://192.168.10.10:8006

Guide détaillé : Installation Proxmox VE

Post-installation essentielle

1. Désactivez le repo entreprise (sauf si vous avez une licence)

   # Dans le shell Proxmox
   sed -i 's/^deb/#deb/' /etc/apt/sources.list.d/pve-enterprise.list
   echo "deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription" > /etc/apt/sources.list.d/pve-no-subscription.list
   apt update && apt dist-upgrade -y

2. Configurez la résolution DNS

   Éditez /etc/resolv.conf pour pointer vers OPNsense :

   nameserver 192.168.10.1
   search lab.local

3. Ajoutez votre clé SSH

   mkdir -p ~/.ssh
   echo "ssh-ed25519 AAAA..." >> ~/.ssh/authorized_keys

Guide détaillé : Configuration post-installation Proxmox

Étape 2 : Déployer authentik

authentik est une solution SSO/Identity Provider open source. Elle vous permettra de :

• Créer un portail d’authentification unique pour toutes vos apps
• Centraliser la gestion des utilisateurs et groupes
• Activer le MFA (TOTP, WebAuthn, etc.)
• Intégrer des apps via OIDC, SAML, LDAP, ou proxy

Options de déploiement

Conteneur LXC

Pour un homelab, un conteneur Debian avec Docker est le plus simple :

1. Créez un conteneur LXC dans Proxmox :

   • Template : debian-12-standard
   • RAM : 4 Go minimum (8 Go recommandé)
   • Disk : 20 Go
   • IP : 192.168.10.20/24
   • Activez “nesting” (requis pour Docker)

2. Installez Docker

   apt update && apt install -y curl
   curl -fsSL https://get.docker.com | sh

3. Déployez authentik avec Docker Compose

   Suivez le guide officiel ou le nôtre (voir lien ci-dessous).

VM dédiée

Pour plus d’isolation, créez une VM Debian :

1. Créez une VM dans Proxmox :

   • Template/ISO : Debian 12
   • RAM : 4-8 Go
   • CPU : 2 cœurs
   • Disk : 32 Go

2. Installez l’OS, puis Docker, puis authentik

MFA pour le compte admin

Dès qu’authentik est opérationnel, activez le MFA (TOTP ou clé physique) sur le compte admin.

C’est la clé de voûte de votre sécurité.

Guide détaillé : Installation authentik

Ce qu’authentik pourra protéger ensuite

Application	Méthode d’intégration
Proxmox VE	OIDC (realm externe)
ArgoCD	OIDC
Grafana	OIDC
Traefik Dashboard	Proxy authentik (Forward Auth)
Applications web sans SSO	Proxy authentik
CLI / scripts	Service accounts + API tokens

Glissez pour voir

Étape 3 : Déployer OpenBao (Vault)

OpenBao est le fork communautaire de HashiCorp Vault. Il stocke et gère vos secrets de manière sécurisée :

• Secrets statiques : mots de passe de bases de données, tokens API, etc.
• Secrets dynamiques : génération à la demande de credentials à durée limitée
• PKI : émission de certificats X.509
• Transit : chiffrement/déchiffrement via API (vos apps n’ont jamais la clé)

Pourquoi hors du cluster ?

Si OpenBao est dans votre cluster Talos, et que Talos a besoin de secrets au démarrage → problème de l’œuf et de la poule.

En le plaçant sur le nœud admin :

1. Talos démarre et récupère ses secrets depuis OpenBao
2. Les apps récupèrent leurs secrets via l’agent Vault
3. Si le cluster est recréé, OpenBao est toujours là

Déploiement

Pour ce homelab, je pars sur une première instance OpenBao hébergée sur le nœud admin Proxmox. Le format exact (LXC ou VM) pourra évoluer ensuite selon les besoins d’isolation et d’automatisation.

1. Créez un conteneur LXC (ou VM) :

   • RAM : 2 Go
   • Disk : 10 Go
   • IP : 192.168.10.21/24

2. Installez OpenBao

   # Téléchargez depuis les releases GitHub
   curl -LO https://github.com/openbao/openbao/releases/download/v2.2.0/bao_2.2.0_linux_amd64.deb
   dpkg -i bao_2.2.0_linux_amd64.deb

3. Configurez (/etc/bao.d/bao.hcl) et initialisez

4. Stockez les clés de déverrouillage quelque part de sûr (pas sur ce serveur !)

Sauvegardez les clés unseal

OpenBao génère des clés de déverrouillage (unseal keys) à l’initialisation.

Si vous les perdez, vous perdez tous vos secrets. Définitivement.

Stockez-les dans des endroits distincts (gestionnaire de mots de passe, coffre physique, etc.).

Guide détaillé : Installation OpenBao

Répartition cible des services sur le nœud admin

À ce stade, votre nœud admin héberge :

Service	Positionnement initial	Usage
Proxmox VE	hôte physique (192.168.10.10)	Hyperviseur
authentik	VM ou LXC dédié (192.168.10.20)	SSO/OIDC
OpenBao	VM ou LXC dédié (192.168.10.21)	Secrets
PKI interne	étape suivante	Certificats TLS internes

Glissez pour voir

DNS interne

Ajoutez ces entrées dans OPNsense (Unbound DNS) :

• proxmox-admin.lab.local → 192.168.10.10
• auth.lab.local → 192.168.10.20
• vault.lab.local → 192.168.10.21

Accès plus simple et certificats TLS avec les bons noms.

Sauvegarde minimale

Ces services sont critiques. Une sauvegarde régulière est indispensable.

Stratégie recommandée

Élément	Méthode	Fréquence
VM / conteneurs Proxmox	Proxmox Backup Server ou vzdump	Quotidienne
Config authentik	Export via UI ou dump PostgreSQL	Hebdomadaire
Data OpenBao	Snapshot Raft ou backend storage	Quotidienne
Clés unseal OpenBao	Stockage offline hors site	Une fois (puis rotation)

Glissez pour voir

Testez vos restaurations

Une sauvegarde non testée n’est pas une sauvegarde. Testez régulièrement la restauration d’un snapshot.

Guide détaillé : Sauvegardes Proxmox

Vérifications

Tests authentik

# Depuis votre poste
curl -k https://auth.lab.local/api/v3/core/info/

Vous devriez obtenir une réponse JSON avec la version d’authentik.

Tests OpenBao

# Définir l'adresse
export BAO_ADDR='https://vault.lab.local:8200'

# Vérifier le statut
bao status

Checklist du premier palier

• Proxmox accessible via https://192.168.10.10:8006
• authentik déployé et accessible
• Compte admin authentik avec MFA activé
• OpenBao initialisé et déverrouillé
• Clés unseal stockées en lieu sûr (hors ce serveur)
• Résolution DNS locale (si déjà mise en place)
• Première sauvegarde effectuée

Prochaines étapes

Roadmap Homelab Les phases de déploiement de votre homelab complet

Formation authentik Maîtrisez authentik en profondeur : OIDC, proxy, LDAP

Formation OpenBao Secrets dynamiques, PKI, Transit, et plus

Déployer Talos Le cluster Kubernetes immutable pour vos workloads

À retenir

• Nœud admin séparé : évite la dépendance circulaire avec le cluster applicatif
• authentik : SSO/OIDC pour toutes vos applications
• OpenBao : gestion centralisée des secrets
• DNS interne : configurez *.lab.local pour simplifier les accès
• MFA obligatoire : le compte admin authentik est la clé de voûte
• Sauvegardez TOUT : particulièrement les clés unseal d’OpenBao

×

📖 Voir la documentation →