+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Не удается выполнить вход через OpenID Connect (с Keycloak), Proxmox Виртуальная Среда

DerEnderKeks

Guest

03.06.2022 15:12:00

Я пытаюсь настроить OIDC в Proxmox, но у меня не получается. Когда я пытаюсь войти с помощью OIDC, я получаю ошибку OpenID login failed, please try again authentication failure (401). В логах pvedaemon написано: openid authentication failure; rhost=xxx msg=Failed to verify ID token: Signature verification failed. Перенаправление в Keycloak, похоже, работает нормально, и я возвращаюсь в Proxmox без каких-либо ошибок. В Keycloak тоже не было записано никаких ошибок. Фрагмент из domains.cfg Код: openid: xxx client-id proxmox issuer-url https://xxx/realms/xxx autocreate 1 client-key xxx default 1 username-claim preferred_username. Я дважды проверил, что секрет совпадает. Конфигурация клиента в Keycloak, по сути, стандартная, но тип доступа установлен на конфиденциальный. Я использую: Keycloak версия 18.0.0 Версии Proxmox: Код: proxmox-ve: 7.2-1 (работающий kernel: 5.15.35-1-pve) pve-manager: 7.2-4 (работающая версия: 7.2-4/ca9d43cc) pve-kernel-5.15: 7.2-3 pve-kernel-helper: 7.2-3 pve-kernel-5.15.35-1-pve: 5.15.35-3 pve-kernel-5.15.30-2-pve: 5.15.30-3 ceph-fuse: 15.2.16-pve1 corosync: 3.1.5-pve2 criu: 3.15-1+pve-1 glusterfs-client: 9.2-1 ifupdown2: 3.1.0-1+pmx3 ksm-control-daemon: 1.4-1 libjs-extjs: 7.0.0-1 libknet1: 1.22-pve2 libproxmox-acme-perl: 1.4.2 libproxmox-backup-qemu0: 1.3.1-1 libpve-access-control: 7.2-1 libpve-apiclient-perl: 3.2-1 libpve-common-perl: 7.2-2 libpve-guest-common-perl: 4.1-2 libpve-http-server-perl: 4.1-2 libpve-storage-perl: 7.2-4 libspice-server1: 0.14.3-2.1 lvm2: 2.03.11-2.1 lxc-pve: 4.0.12-1 lxcfs: 4.0.12-pve1 novnc-pve: 1.3.0-3 openvswitch-switch: 2.15.0+ds1-2+deb11u1 proxmox-backup-client: 2.2.1-1 proxmox-backup-file-restore: 2.2.1-1 proxmox-mini-journalreader: 1.3-1 proxmox-widget-toolkit: 3.5.1 pve-cluster: 7.2-1 pve-container: 4.2-1 pve-docs: 7.2-2 pve-edk2-firmware: 3.20210831-2 pve-firewall: 4.2-5 pve-firmware: 3.4-2 pve-ha-manager: 3.3-4 pve-i18n: 2.7-2 pve-qemu-kvm: 6.2.0-8 pve-xtermjs: 4.16.0-1 qemu-server: 7.2-3 smartmontools: 7.2-pve3 spiceterm: 3.2-2 swtpm: 0.7.1~bpo11+1 vncterm: 1.7-1 zfsutils-linux: 2.1.4-pve1

LnxBil Guest	#2 0 16.08.2022 15:34:00 Вы решили свою проблему? Я только что все настроил, и у меня все заработало с первого раза. Ваша запись с никнеймом-способом также решила для меня странный никнейм (=внутренний идентификатор).

DerEnderKeks

Guest

17.08.2022 21:57:00

Нет, к сожалению, нет. Я только что попробовал снова, и у меня по-прежнему возникает та же ошибка, даже с обновлениями. Я даже заново создал мир в PVE и в Keycloak, но он по какой-то причине не работает... Но, по крайней мере, я смог помочь тебе! ^^ Ты делал что-то особенное? Я просто создал мир в Keycloak и сделал его конфиденциальным. Мой конфиг Proxmox все такой же, как выше.

LnxBil Guest	#4 0 18.08.2022 12:34:00 Я создал клиента в главном пространстве (только простая настройка) как публичного (client_id + client_secret). Может, в этом и есть разница?

DerEnderKeks

Guest

03.11.2022 21:24:00

Я наконец нашёл решение: кажется, Proxmox поддерживает только некоторые алгоритмы подписи JWT, которые поддерживает Keycloak. Когда я вручную задаю `Алгоритм подписи токена доступа` и `Алгоритм подписи ID токена` как RS256, всё работает. Не уверен, какие именно алгоритмы поддерживаются, но было бы действительно полезно получать более информативные сообщения об ошибках (и, возможно, ответы от команды Proxmox).

LnxBil Guest	#6 0 05.11.2022 12:55:00 Вы изменили это по умолчанию?

DerEnderKeks

Guest

05.11.2022 17:02:00

Мой алгоритм по умолчанию установлен на ES256, я думаю, что изменял его в какой-то момент. Стандартный алгоритм Keycloak для этой настройки, похоже, RS256, что объясняет, почему это сработало у тебя, если ты не менял настройки по умолчанию.

LnxBil

Guest

07.11.2022 20:19:00

Да, я ничего не менял в этой части. Должен сказать, что большая часть нестандартных функций плохо поддерживается сторонними приложениями. Я также попытался улучшить безопасность с помощью двухфакторной аутентификации, но она не поддерживалась клиентами/программами 2FA, которые я использую, так что это тоже разочарование.

Mikus Guest	#9 0 21.03.2023 19:59:00 Та же проблема с LemonLDAP:NG, ошибка: Не удалось подтвердить ID токен: Проверка подписи не удалась. Я сгенерировал RSA ключи для OpenID Connect Service и изменил алгоритм подписи ID на RS256 для PVE зависимой стороны, и ошибка исчезла.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры