+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Вход с использованием ActiveDirectory Realm невозможен, Proxmox Datacenter Manager

Draces

Guest

13.01.2026 10:18:00

Здравствуйте! В данный момент мы оцениваем использование PDM в нашей среде. Большинство настроек работали как по маслу. Сейчас столкнулся с проблемой при попытке включить аутентификацию через AD. Настроил следующим образом:
Realm: MyDomain.de
Server: MyDomain.de
Fallbackserver: FSMO.MyDomain.de
Mode: LDAPS
Port: 636
Verify Certificate: отключено
Bind Domain Name: «DN пользователя с правом чтения»
Bind Password: пароль этого пользователя

Атрибуты и фильтры работают. Пользователи импортируются корректно, атрибуты устанавливаются правильно. Для теста я дал административный доступ к "/" и включил propagate. При попытке входа ввожу своего AD-пользователя, пароль, выбираю Realm MyDomain.de и получаю сообщение: «Login failed. Please try again (api error (status = 401: Unauthorized))».

В файле auth.log появляется сообщение:
2026-01-13T09:19:17+01:00: authentication failure; rhost=[::ffff:<<IP>>]:62917 user= adUser@myDomain.de msg=user account disabled or expired.

Мой пользователь не отключён и не просрочен — я сейчас залогинен на своей машине под этим же пользователем. Ещё, когда пытаюсь включить или отключить какого-либо пользователя, PDM выдаёт ошибку, что ожидалось целое число.

Надеюсь, кто-то сможет подсказать правильное решение.

sterzy

Guest

09.04.2026 14:43:00

А, да, на данный момент мы не поддерживаем нечувствительность к регистру в AD-областях на PBS/PDM. Так что, если я правильно понял, в user.cfg (например, что было синхронизировано) и при попытках входа самим пользователем использовалась одна и та же учётная запись, но с разным регистром?

Draces

Guest

25.03.2026 13:15:00

Пока я нашёл решение своей проблемы. PDM не может проверить LDAP-/AD-пользователя при использовании доступа на «/» (то есть во всём). Пришлось выдать права на каждый путь до первого уровня, например, «/system». После этого у всех получилось войти. Было бы здорово, если бы можно было создавать роли и добавлять к ним права.

sterzy

Guest

25.03.2026 13:35:00

Ты включил «Propagate» при настройке? Это должно дать пользователю доступ ко всем вложенным путям. Вход в систему должен работать независимо от настроенных для этого пользователя ACL (хотя, конечно, они ничего толком сделать не смогут).

Draces Guest	#5 0 25.03.2026 13:54:00 Propagate был включён. Вход выполнить не удалось. Сейчас Propagate включён на всех подпутах в правах доступа. Это работает безупречно. Я доволен текущим обходным решением, хотя группы были бы весьма кстати.

sterzy

Guest

25.03.2026 14:07:00

Группы находятся в нашем списке улучшений, которые нужно сделать [1]. Было бы здорово, если бы вы могли прислать версию ваших конфигурационных файлов, которая не работала. Если возможно, я хотел бы узнать, что именно там пошло не так. Потому что в такой ситуации вход в систему должен работать. [1]: https://bugzilla.proxmox.com/show_bug.cgi?id=5867

erfus

Guest

25.03.2026 14:20:00

Я пробовал этот обходной вариант, но у меня тоже не сработало. Вот наша конфигурация:
root@PDM:/etc/proxmox-datacenter-manager/access# tail -n3 user.cfg
user: username@AD-DOMAIN
enable true
expire 0
root@PDM:/etc/proxmox-datacenter-manager/access# cat acl.cfg
acl:1:/system:username@AD-DOMAIN:Administrator

sterzy

Guest

25.03.2026 16:28:00

Извиняюсь, но у меня всё ещё не получается это воспроизвести. В логах, с такими настройками, у вас по-прежнему появляется сообщение «аккаунт отключён или просрочен»? Это кажется мне довольно странным, единственное объяснение — кэширование по какой-то причине не работает так, как задумано. В этом случае было бы интересно посмотреть «время изменения» файла (stat /etc/proxmox-datacenter-manager/access/user.cfg), а также время последней синхронизации ролей. Ещё, какую файловую систему вы используете и ставили ли вы систему с помощью нашего стандартного установщика?

DJKrafty

Guest

09.04.2026 14:18:00

Мне удалось воспроизвести эту проблему, и в итоге я оказался на этой ветке обсуждения. Могу подтвердить одно различие между PVE и PDM для реалмов: PVE позволяет игнорировать регистр, а PDCM — нет. В моей среде создавали аккаунты разные администраторы, кто-то использовал admin.User.Name, а кто-то — admin.user.name. Когда я изучил вопрос с учетом регистра, смог повторить ошибку со строкой при изменении своей учетной записи. Она сохранялась после обновления и перезагрузки, но исчезла после того, как я удалил AD-реалм и создал его заново. Если кто-то наткнется на эту ветку, надеюсь, эти заметки окажутся полезными.

erfus

Guest

#10

25.03.2026 09:07:00

Всем привет, у нас такая же проблема. Используем PDM 1.0.3. Пробовали и включать синхронизацию, и вручную редактировать конфигурационный файл, но всё равно получаем такую ошибку: Не удалось войти. Пожалуйста, попробуйте снова (ошибка API (статус = 401: Unauthorized)). В журнале systemd тоже та же ошибка: msg=user account disabled or expired. Есть идеи? Спасибо!

sterzy

Guest

#11

25.03.2026 10:24:00

Когда вы смотрите в панель управления пользователями, пользователь, под которым пытаетесь войти, включён там? Если вы изменили настройку «Включать новых пользователей» после того, как пользователь был изначально создан, синхронизация его не активирует. Также убедитесь, что свойство пользователя «Истекает» не установлено или стоит в будущем.

erfus

Guest

#12

25.03.2026 11:25:00

Да, я пробовал оба варианта! Когда я синхронизирую с выключенной опцией «enable new users», пользователь отключается, как и ожидалось. Когда я включаю её через GUI, в самом интерфейсе пользователя показывает как включённого, но в конфигурационном файле он не становится активным. Я вручную редактировал конфиг, но это не решило проблему. Потом я снова удалил всех пользователей и синхронизировал с включённой опцией «enable new users». Пользователи в веб-интерфейсе и в конфиге отображаются как включённые. Но вход по-прежнему не удаётся с той же ошибкой.

sterzy Guest	#13 0 25.03.2026 12:55:00 Не мог бы ты выложить (отредактированную) версию своей конфигурации пользователя ( /etc/proxmox-datacenter-manager/access/user.cfg )? У меня это вроде работает нормально, хотя я заметил несколько странностей в нашем интерфейсе именно в этой части.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры