Vraag

woensdag 4 december 2024 18:52

Acties:
  • 0 Henk 'm!
  • K!K
  • Registratie: April 2008
  • Laatst online: 16:28

K!K

Topicstarter
Ik zit met het volgende al enige tijd heb ik via een reserved proxy een aantal applicaties publiekelijk beschikbaar gemaakt.
Gezien het open zetten van poorten naar buiten afgeraden wordt, zou ik graag willen overstappen op een cloudflare tunnel.
Dit maakt het mogelijk om zonder port forward toch bepaalde applicaties beschikbaar te maken, ik heb hier inmiddels een test van lopen en daar loop ik met Nextcloud AIO tegen problemen aan.


applicaties:
Authentik 192.168.1.100:9000 (HTTP) En 192.168.1.100:9443 (HTTPS)
Nextcloud AIO 192.168.1.100:11000 (HTTP) (apache container)

Andere applicaties zal ik niet benoemen gezien deze gewoon met authentik werken en de user hier gewoon mee kan inloggen

Ik heb de cloudflare nameservers overgenomen binnen mijn hosting. Deze wijziging is bij Cloudflare actief en alle paginas zijn bereikbaar.

Web adres:
nextcloud.domein.nl
sso.domein.nl

Cloudflare:
Cloudflare heeft een zero trust tunnel met daar in
nextcloud.domein.nl -> A 192.168.1.100:11000 (bereikbaar)
sso.domein.nl -> 192.168.1.100:9000 (bereikbaar)

Authentik:
Provider en applicatie (Auth2/Openid & SAML) Auth2/OpenId geruimen tijd zonder problemen gebruikt SAML aangemaakt om te testen, de domeinnaam wordt gebruikt bij de redirect uri en niet het local ip addres. Dit heb ik overal zo gedaan.
Handleiding nagelopen: https://docs.goauthentik.io/integrations/services/nextcloud/

Probleem:
Als ik met nextcloud in wil loggen via een SSO of een OpenId kom ik telkens op een pagina terecht waar aangegeven wordt dat er een interne fout is.
Als ik vervolgens de SSO en OpenId bypass en met een account inlog waarvan credentials van zijn werkt dit gewoon via de tunnel.

Het lijk er dus op dat er ergens een verificatie fout is


Fout Nextcloud log:
code:
1
2
3

{"file":"/var/www/html/lib/private/AppFramework/Http/Dispatcher.php","line":114,"function":"executeController","class":"OC\\AppFramework\\Http\\Dispatcher","type":"->","args":[{"__class__":"OCA\\UserOIDC\\Controller\\LoginController"},"code"]},{"file":"/var/www/html/lib/private/AppFramework/App.php","line":161,"function":"dispatch","class":"OC\\AppFramework\\Http\\Dispatcher","type":"->","args":[{"__class__":"OCA\\UserOIDC\\Controller\\LoginController"},"code"]},{"file":"/var/www/html/lib/private/Route/Router.php","line":302,"function":"main","class":"OC\\AppFramework\\App","type":"::","args":["OCA\\UserOIDC\\Controller\\LoginController","code",{"__class__":"OC\\AppFramework\\DependencyInjection\\DIContainer"},{"_route":"user_oidc.login.code"}]},{"file":"/var/www/html/lib/base.php","line":1001,"function":"match","class":"OC\\Route\\Router","type":"->","args":["/apps/user_oidc/code"]},{"file":"/var/www/html/index.php","line":24,"function":"handleRequest","class":"OC","type":"::","args":[]}],"File":"/var/www/html/custom_apps/user_oidc/lib/Service/DiscoveryService.php","Line":155,"message":"Error: kid must be provided in JWT header.","exception":{},"CustomMessage":"Error: kid must be provided in JWT header."}}

[b]Error melding:[/b] Error: kid must be provided in JWT header.


Authentik log:
Geen fout te vinden

Cloudflare log:
Geen log beschikbaar ( of nog niet kunnen vinden )

Nextcloud Config:
Zoals te zien zitten de ipv4 adressen van Cloudflare ook netjes in de trusted proxy Ik krijg echter ook geen error op de proxy. dus dit lijkt me goed!
Ook heb ik gevonden dat ik " 'allow_local_remote_servers' => true," moest toevoegen voor mijn probleem dit lijkt geen effect te hebben.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150

<?php
$CONFIG = array (
  'one-click-instance' => true,
  'one-click-instance.user-limit' => 100,
  'memcache.local' => '\\OC\\Memcache\\APCu',
  'apps_paths' => 
  array (
    0 => 
    array (
      'path' => '/var/www/html/apps',
      'url' => '/apps',
      'writable' => false,
    ),
    1 => 
    array (
      'path' => '/var/www/html/custom_apps',
      'url' => '/custom_apps',
      'writable' => true,
    ),
  ),
  'check_data_directory_permissions' => false,
  'memcache.distributed' => '\\OC\\Memcache\\Redis',
  'memcache.locking' => '\\OC\\Memcache\\Redis',
  'hide_login_form' => true,
  'overwrite.cli.url' => 'https://nextcloud.domein.nl/',
  'overwritehost' => 'nextcloud.domein.nl',
  'overwritewebroot' => '',
  'overwriteprotocol' => 'https',
  'allow_local_remote_servers' => true,
  'default_phone_region' => 'NL',
  'redis' => 
  array (
    'host' => 'nextcloud-aio-redis',
    'password' => 'password',
    'port' => 6379,
  ),
  'passwordsalt' => 'passwordalt',
  'secret' => 'secret',
  'trusted_domains' => 
  array (
    0 => 'localhost',
    1 => 'nextcloud.domein.nl',
    2 => 'sso.domein.nl',
    3 => '192.168.0.0/24',
  ),
  'datadirectory' => '/mnt/ncdata',
  'dbtype' => 'pgsql',
  'version' => '30.0.2.2',
  'dbname' => 'nextcloud_database',
  'dbhost' => 'nextcloud-aio-database:5432',
  'dbport' => '',
  'dbtableprefix' => 'oc_',
  'dbuser' => 'user',
  'dbpassword' => 'password',
  'installed' => true,
  'instanceid' => 'id',
  'maintenance' => false,
  'loglevel' => 2,
  'log_type' => 'file',
  'logfile' => '/var/www/html/data/nextcloud.log',
  'log_rotate_size' => 10485760,
  'log.condition' => 
  array (
    'apps' => 
    array (
      0 => 'admin_audit',
    ),
  ),
  'preview_max_x' => 2048,
  'preview_max_y' => 2048,
  'jpeg_quality' => 60,
  'enabledPreviewProviders' => 
  array (
    1 => 'OC\\Preview\\MP3',
    2 => 'OC\\Preview\\TXT',
    3 => 'OC\\Preview\\OpenDocument',
    4 => 'OC\\Preview\\Movie',
    5 => 'OC\\Preview\\Krita',
    6 => 'OC\\Preview\\HEIC',
    7 => 'OC\\Preview\\TIFF',
    8 => 'OC\\Preview\\Image',
    0 => 'OC\\Preview\\Imaginary',
  ),
  'enable_previews' => true,
  'upgrade.disable-web' => true,
  'mail_smtpmode' => 'smtp',
  'trashbin_retention_obligation' => 'auto, 30',
  'versions_retention_obligation' => 'auto, 30',
  'activity_expire_days' => 30,
  'simpleSignUpLink.shown' => false,
  'share_folder' => '/Shared',
  'one-click-instance.link' => 'https://nextcloud.com/all-in-one/',
  'upgrade.cli-upgrade-link' => 'https://github.com/nextcloud/all-in-one/discussions/2726',
  'updatedirectory' => '/nc-updater',
  'maintenance_window_start' => 100,
  'davstorage.request_timeout' => 3600,
  'htaccess.RewriteBase' => '/',
  'dbpersistent' => false,
  'auth.bruteforce.protection.enabled' => true,
  'ratelimit.protection.enabled' => true,
  'files_external_allow_create_new_local' => true,
  'trusted_proxies' => 
  array (
    0 => '127.0.0.1',
    1 => '::1',
    2 => '172.26.0.0/16',
    3 => '173.245.48.0/20',
    4 => '103.21.244.0/22',
    5 => '103.22.200.0/22',
    6 => '103.31.4.0/22',
    7 => '190.93.240.0/20',
    8 => '188.114.96.0/20',
    9 => '197.234.240.0/22',
    10 => '172.26.0.0/16',
    11 => '162.158.0.0/15',
    12 => '104.16.0.0/13',
    13 => '104.24.0.0/14',
    14 => '172.64.0.0/13',
    15 => '131.0.72.0/22',
  ),
  'forwarded_for_headers' => 
  array (
    0 => '172.26.0.0/16',
    1 => '173.245.48.0/20',
    2 => '103.21.244.0/22',
    3 => '103.22.200.0/22',
    4 => '103.31.4.0/22',
    5 => '190.93.240.0/20',
    6 => '188.114.96.0/20',
    7 => '197.234.240.0/22',
    8 => '172.26.0.0/16',
    9 => '162.158.0.0/15',
    10 => '104.16.0.0/13',
    11 => '104.24.0.0/14',
    12 => '172.64.0.0/13',
    13 => '131.0.72.0/22',
  ),
  'preview_imaginary_key' => 'key',
  'memories.db.triggers.fcu' => true,
  'memories.exiftool' => '/var/www/html/custom_apps/memories/bin-ext/exiftool-amd64-musl',
  'memories.vod.path' => '/var/www/html/custom_apps/memories/bin-ext/go-vod-amd64',
  'memories.vod.ffmpeg' => '/usr/bin/ffmpeg',
  'memories.vod.ffprobe' => '/usr/bin/ffprobe',
  'defaultapp' => '',
  'memories.vod.vaapi' => true,
  'memories.vod.vaapi.low_power' => true,
  'preview_imaginary_url' => 'http://nextcloud-aio-imaginary:9000',
  'documentation_url.server_logs' => 'https://github.com/nextcloud/all-in-one/discussions/5425',
  'data-fingerprint' => 'print',
);


Ik heb geen idee of nogmeer informatie noodzakelijk is gezien ik zelf niet direct weet waar ik moet zoeken.
Maar zoals eerder gezegd verwacht ik dat er in de config.php van Nextcloud niet goed staat of in de Cloudflare Tunnel iets niet goed is waar ik geen weet van heb.

Hopelijk kunnen jullie mij wat op weg helpen. Mocht je wat missen kwa info laat het dan aub even weten!

Beste antwoord (via K!K op 06-12-2024 13:01)

vrijdag 6 december 2024 09:19

  • Falcon
  • Registratie: Februari 2000
  • Nu online

Falcon

DevOps/Q.A. Engineer

K!K schreef op vrijdag 6 december 2024 @ 07:20:
Iemand anders een suggestie?
Heb jij een “Signing Key” geselecteerd in de Provider settings van Authentik?

https://docs.goauthentik.io/integrations/services/nextcloud

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

Alle reacties

donderdag 5 december 2024 06:19

Acties:
  • 0 Henk 'm!
  • Flans
  • Registratie: Februari 2013
  • Laatst online: 07:51

Flans

Wat is de OIDC versie die je gebruikt? Als je een oudere versie gebruikt dan kan het zo zijn dat bepaalde ondersteuning - in dit geval ES256 - er (nog) niet in zit. Opgelost door de informatie in deze link: https://help.nextcloud.co...-for-key-signing/166071/3

donderdag 5 december 2024 06:49

Acties:
  • 0 Henk 'm!
  • K!K
  • Registratie: April 2008
  • Laatst online: 16:28

K!K

Topicstarter
Ik gebruik de app OpenID Connect user backend met versie 6.1.2.
Als ik de repo van deze app bekijk is de laatste versie al van een tijdje terug.
Is dit te update of zou een andere applicatie aanraden om dit te doen? dan kan ik uistluiten of dit het probleem is.

Repo: https://github.com/nextcloud/user_oidc

Update: ik heb even via terminal ingelogt en naar custom_apps/user_iodc/Lib/Vendor/FireBase/JWT/JWT.php gekeken. en hier heb ik onderstaande gezien. dus het lijkt erop dat deze al ondersteund wordt.

Afbeeldingslocatie: https://tweakers.net/i/3I0fCG6kpRiMGU4Y9_4T9BqTjhY=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/pbYK3PzqE6DhPhknNtzyV9wV.png?f=user_large

[ Voor 37% gewijzigd door K!K op 05-12-2024 06:56 ]

vrijdag 6 december 2024 07:20

Acties:
  • 0 Henk 'm!
  • K!K
  • Registratie: April 2008
  • Laatst online: 16:28

K!K

Topicstarter
Iemand anders een suggestie?

vrijdag 6 december 2024 09:19

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Falcon
  • Registratie: Februari 2000
  • Nu online

Falcon

DevOps/Q.A. Engineer

K!K schreef op vrijdag 6 december 2024 @ 07:20:
Iemand anders een suggestie?
Heb jij een “Signing Key” geselecteerd in de Provider settings van Authentik?

https://docs.goauthentik.io/integrations/services/nextcloud

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

vrijdag 6 december 2024 11:07

Acties:
  • +1 Henk 'm!
  • K!K
  • Registratie: April 2008
  • Laatst online: 16:28

K!K

Topicstarter
Er zit geen signing key in de provider op dit moment.
Maar durf niet te zeggen of deze er wel in zat gezien de key wel bestaat maar ik al het een en ander geprobeerd heb zullen we maar zeggen.

Update:
Jeetje wat dom! Heb om te testen de Signing key weer even terug aan gezet en ja hoor je raad het al...
Kan weer gewoon inloggen! Even zo nog op een ander apparaat proberen maar het lijkt opgelost!
Zelf onbewust uit gezet, denk doordat ik met de propperig mapping bezig ben geweest.
Net even een andere user laten testen en het werkt weer allemaal!

Bedankt!

[ Voor 53% gewijzigd door K!K op 06-12-2024 13:02 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq