群晖 DSM 集成 Next-Terminal 实现 WebAuthn/FIDO 免密登录

一、要达成的效果

让群晖 DSM 使用 Next-Terminal 完成单点登录，支持 WebAuthn 硬件/软件密钥认证。

群晖首页集成 SSO 按钮 群晖登录页默认展示 SSO 一键登录选项，点击登录按钮后，自动唤起浏览器的密钥验证提示。
推荐使用这几种密钥

物理密钥： 支持插入 FIDO 认证器（如网上购买的 Pico-Fido 、YubiKey 等）。
软件密钥： 支持调用 Bitwarden 等密码管理器的 Passkey 功能登录。
软件密钥： Windows Hello/MacOS 作为密钥，用 PIN 、指纹或是刷脸登录。

二、需要准备的内容

2.1 基础服务部署

确保群晖 DSM 和 Next-Terminal 均已安装部署。

网络要求： 配置好域名解析，确保这两个系统在公网环境下可以相互访问。

2.2 域名与证书配置

HTTPS： 必须为群晖和 Next-Terminal 配置有效的域名和 SSL/TLS 证书，确保通过 https 访问时浏览器地址栏无报错（ WebAuthn 强依赖 HTTPS ）。

2.3 认证介质准备

准备好一键认证方式，以下任选其一或组合(建议至少搞两个互相备份)：

物理密钥（ Physical Key ）
Bitwarden 等虚拟密钥（ Passkey ）
Next-Terminal 自身的密码登录
Windodws 或是 MacOS 录入指纹或是面容

三、环境说明

图里涉及的测试环境域名如下（根据实际情况替换）：

服务名称	演示域名
Next-Terminal	`nt.xxxxx.cn`
群晖 DSM	`dsm.xxxxx.tech`

四、关键步骤说明

1. 开启 WebAuthn 支持

进入 Next-Terminal 后台设置，启用 WebAuthn 功能。

2. 启用 OIDC 服务

在 Next-Terminal 设置中，找到并将 OIDC_SERVER 选项设置为开启状态。

3. 新建 OIDC 客户端

在 Next-Terminal 中创建一个新的应用（ OIDC Client ），用于群晖连接（测试 Outline 也可）。

4. 配置群晖 SSO

进入群晖 DSM 的控制面板 -> 域/LDAP -> SSO 客户端，新建 SSO 配置，填入步骤 3 中获取的 OIDC 信息。

5. [可选] 录入密钥

在 Next-Terminal 的个人中心，录入物理密钥或 Bitwarden 虚拟密钥。

6. [可选] 关闭密码登录，让登录界面更简洁

在 Next-Terminal 中关闭密码登录。

五、其他信息

群晖 DSM 集成 Next-Terminal 实现 WebAuthn/FIDO 免密登录

一、 要达成的效果

二、 需要准备的内容