#IT-Tutorials · 3 Min. Lesezeit · Tim Rinkel

SSH-HAMMER! Passwortlos in dein Homelab – so sicherst du dich mit NetBird und SSO!

Passwortloses SSH mit SSO im Homelab einrichten: NetBird + Identity-Aware Auth ohne offenen Port 22. Tutorial für Homelab-Nutzer.

SSH-HAMMER! Passwortlos in dein Homelab – so sicherst du dich mit NetBird und SSO!

HOMELAB-SENSATION! Wer mehrere Server verwaltet, kennt die Hölle: SSH-Keys überall, Passwörter im Manager, ständig das miese Gefühl, ob der Zugang wirklich sicher ist!

SCHLUSS DAMIT! Passwortloses SSH mit Single Sign-On ist DIE ANTWORT der modernen IT! Und mit NetBird geht’s überraschend einfach! Ohne Port 22 im Internet, ohne Key-Chaosnur noch dein Identity Provider!

SCHOCK: Das Problem mit KLASSISCHEN SSH-Keys!

Traditionelles SSH setzt auf zwei Ansätze: Passwort-Auth (unsicher, brute-force-anfällig) oder SSH-Public-Key-Auth! Letzteres gilt lange als Best Practice – aber auch hier lauern PROBLEME:

  • Key-Management-CHAOS: Jeder Client braucht den richtigen Key, jeder Server die richtigen authorized_keys!
  • KEIN zentrales Offboarding: Verlässt ein Nutzer das Team – Keys auf JEDEM Server einzeln löschen!
  • KEINE Sitzungskontext-Infos: SSH-Keys sagen nichts darüber aus, wer sich einloggt!
  • Port 22 offen: Ständiges Angriffsziel!

Die Lösung: Identitätsbewusster Zugriff – KEIN offener Port, KEINE lokalen Keys, sondern dein IdP als einzige Wahrheit!

HAMMER: NetBird – Zero-Trust mit SSH-Power!

NetBird ist ein Open-Source WireGuard-basiertes Overlay-Netz mit integrierter SSO-Unterstützung! Seit Version 0.60.0 gibt’s den vollständig überarbeiteten SSH-Stack!

Das bedeutet:

  • Authentifizierung via IdP über OIDC/JWT!
  • KEIN Port 22 im Internet!
  • Granulare Access-Policies: Wer darf auf welchen Server mit welchem OS-User?
  • Transparente OpenSSH-Integrationssh-Befehle funktionieren gewohnt weiter!

MEGA-Liste: Unterstützte Identity Provider!

Aus der Box kompatibel mit:

  • Google Workspace!
  • Microsoft Entra ID (ehemals Azure AD)!
  • Okta!
  • Authentik – Community-Favorit, selbst gehostet!
  • Keycloak – selbst hostbar, extrem mächtig!
  • Alle OIDC-kompatiblen IdPs!

Fürs Homelab empfehle ich: Authentik oder Keycloak! Kein Cloud-Zwang, volle Kontrolle!

SCHRITT FÜR SCHRITT: So installierst du!

Voraussetzungen

  • NetBird-Account (kostenlos reicht)!
  • NetBird-Agent auf Servern und Clients!
  • Laufender IdP (z.B. Authentik)!
  • Linux-Server als SSH-Ziel (Ubuntu 22.04/24.04)!

Schritt 1: NetBird installieren!

Auf JEDEM Server/Client:

curl -fsSL https://pkgs.netbird.io/install.sh | sh
sudo netbird up

Beim ersten Start: Browser-SSO-Anmeldung! Gerät ist im NetBird-Netz registriert, bekommt feste private IP (100.x.x.x)!

Schritt 2: SSH-Funktion aktivieren!

Auf dem Zielserver:

sudo netbird up --allow-server-ssh

Oder: Tray-App → Settings → „Allow SSH“ pro Gerät! NetBird installiert automatisch die OpenSSH-Drop-in-Config – NICHTS manuell konfigurieren!

Schritt 3: Access-Policies setzen!

Im NetBird-Dashboard unter Access Control → Policies:

  • Welcher User-Kreis darf auf welche Server?
  • Mit welchem Local-User (root, admin, deploy)?
  • Session-Timeout und MFA-Pflicht setzen!

Schritt 4: SSH verbinden!

ssh admin@homeserver.netbird.selfhosted

Der normale SSH-Befehl funktioniert! Im Hintergrund übernimmt NetBird JWT-Auth gegen deinen IdP!

MEGA-VORTEILE: Warum das ROCKT!

Die Top 5 Killer-Features:

  1. Zentrales Offboarding: User im IdP deaktivieren = ALLE Zugänge weg!
  2. Nachvollziehbare Audit-Logs: Wer sich wann wo eingeloggt hat – alles dokumentiert!
  3. MFA out-of-the-box: YubiKey, TOTP, Passkeys – funktioniert SOFORT!
  4. Null offene Ports: Port 22 kann dicht bleiben – kein Angriffsvektor!
  5. Transparent: Bestehende ssh-Kommandos, Ansible, Terraform – alles läuft weiter!

BONUS-TIPP: Authentik im Homelab deployen!

YAML 
version: "3.8"
services:
  authentik-server:
    image: ghcr.io/goauthentik/server:latest
    container_name: authentik-server
    command: server
    ports:
      - "9000:9000"
      - "9443:9443"
    environment:
      AUTHENTIK_SECRET_KEY: <generate-32-char-secret>
      AUTHENTIK_POSTGRESQL__PASSWORD: secure-password
    volumes:
      - ./media:/media
      - ./custom-templates:/templates

Dann im NetBird Admin-Panel Authentik als OIDC-IdP konfigurieren – FERTIG!

FAZIT: SSH wird 2026 endlich RICHTIG!

Klare Sache: Passwörter und einfache SSH-Keys sind antiquiert! Mit NetBird + Authentik hast du ein Enterprise-Grade Zugangssystem – und das komplett Open Source!

Mein Tipp: HEUTE NetBird installieren, MORGEN Authentik dazu, übermorgen deine ersten SSO-SSH-Logins! In einem Wochenende modernisierst du dein komplettes Homelab!

Auf Lapalutschi.de kommt bald der ultimative Authentik-Hardening-Guide – MFA, WebAuthn und Passkeys! Bleib dran!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert