+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RSS

API-эндпоинт ACME выдал ошибку: 403 Permission check failed (user != root@pam) — хотя пользователь и есть root@pam., Proxmox Виртуальная Среда

c10l

Guest

04.07.2022 12:34:00

В названии всё практически сказано. Я пишу API-клиент и Terraform provider для Proxmox VE. Пока что endpoints `version` и `storage` работают (хотя и не совсем полностью). Теперь я пытаюсь создать ACME-аккаунт, но получаю ошибку `403 Permission check failed (user != root@pam)`. API-токен, который я использую, действительно принадлежит `root@pam`, хотя. Я пробовал включать и выключать privilege separation, но это не дало никакого эффекта.

c10l

Guest

20.12.2022 01:45:00

Привет, @mira! Я успешно реализовал workflow на основе тикетов для ACME-endpoint'ов. Но если у пользователя `root` включена MFA, я не могу получить тикет. Есть ли способ это исправить? Иначе придётся отключить MFA для root-пользователя, что, конечно, снизит мою безопасность. Спасибо!

mira

Guest

20.12.2022 10:33:00

Я бы посоветовал посмотреть, как это реализовано во встроенном GUI. Обратите внимание на инструменты разработчика вашего браузера и на код: https://git.proxmox.com/?p=pve-manager.git; и https://git.proxmox.com/?p=proxmox-widget-toolkit.git. GUI использует сам API, поэтому можно посмотреть каждый API-вызов в браузере и увидеть, какие параметры отправляются и какой ответ приходит.

fabian Guest	#4 0 20.12.2022 10:53:00 Мы могли бы еще раз оценить, так ли уж нужно это endpoint для root@pam, учитывая, что ни настройка плагинов, ни заказ/продление/удаление ACME сертификата этого не требует (всё это "просто" требует "Sys.Modify" на "/").

c10l

Guest

20.12.2022 14:05:00

Спасибо @mira, гляну. @fabian, это было бы идеально, потому что сейчас мне, вероятно, придётся реализовывать TOTP-клиент в моем Terraform provider'е и требовать TOTP seed в качестве аргумента, что не очень хорошо. Либо это, либо требовать отключения MFA, что тоже не вариант.

contabosucks

Guest

04.04.2024 18:04:00

Привет @mira, наткнулся на проблему при использовании terraform провайдера "telmate/proxmox". Пытаюсь настроить привилегированные lxc контейнеры, так как это кажется единственным обходным путем для запуска k3s на lxc. Раз proxmox api сообщает, что "изменение feature flags для привилегированного контейнера разрешено только для root@pam", я попробовал настроить через api напрямую как root@pam (без токена). Но все равно приходит то же сообщение об ошибке. Для ясности: я все еще использую terraform, но теперь с user/password вместо access token. Спасибо за помощь!

PS: У меня proxmox 7.4-17.

mira Guest	#7 0 11.04.2024 15:27:00 Это должно сработать, ведь это проверка имени пользователя. Не могли бы вы предоставить немного больше деталей? Какое именно API-вызов, какие параметры? Я бы посоветовал НЕ запускать это в контейнере. Лучше запускать внутри VM.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры