+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Настройка WebAuth для кластера., Proxmox Виртуальная Среда

nicobos

Guest

08.08.2024 13:09:00

Привет всем! Настраиваю кластер Proxmox 8 с узлами a.example.com, b.example.com и c.example.com. Согласно документации, у всех узлов есть действующий доверенный сертификат Letsencrypt. Далее хочу настроить Webauth MFA, но, насколько я понял, есть некоторые нюансы при использовании в кластере. Как я понял, могут возникать ситуации, когда WebAuth будет работать на одном узле кластера, но не на остальных. Наткнулся на эту тему, где говорится, что нужно оставить поле Origin в Datacenter --> Options --> WebAuth Settings пустым, чтобы это исправить. В моей ситуации, после нажатия кнопки 'Auto-fill', поля 'name' и 'ID' заполняются полным квалифицированным именем хоста моего узла A. Например, a.example.com. Не приведет ли эта настройка к тому, что Webauth будет работать на a.example.com, b.example.com и c.example.com? Или мне нужны какие-то другие шаги, чтобы добиться такого результата? Nico

vanderlpp Guest	#2 0 18.02.2025 17:53:00 Для меня помогло заполнить опции в webauth. Нужно было просто дать имя позже в конфигурации webauth, и всё заработало сразу.

aj@root

Guest

22.04.2025 22:43:00

Поскольку поисковик привел меня сюда, когда я искал ответы, я возвращаюсь с дополнительными деталями. ID относится к идентификатору Relying Party и должен соответствовать конкретному домену узла или родительскому домену для всех узлов. Name — это по сути просто комментарий. Origin следует устанавливать только в том случае, если вы хотите предотвратить ситуацию, когда поддомены могут получать доступ к проверенным Passkey, (т.е. заблокировать foo.pve1.lab1.example.com от запроса passkey, который будет работать для pve1.lab1.example.com). Итак, для сети вроде этой: Код: lab1.example.com # родительский домен, Relying Party ID
pve1.lab1.example.com
pve2.lab1.example.com
pve3.lab1.example.com Вам нужна эта конфигурация для кластера: Код: Name: Мой кластер
Origin: (не установлено)
ID: lab1.example.com Или эта конфигурация, чтобы зафиксировать узлы на одном: Код: Name: Мой узел
Origin: https://pve1.lab1.example.com:8006
ID: pve1.lab1.example.com У нас возникли некоторые тонкие проблемы, которые было сложно отладить, поэтому я сделал руководство, в котором рассмотрены подводные камни: https://forum.proxmox.com/threads/how-to-configure-passkeys-on-a-cluster-or-on-single-node.165331/#post-765465

guruevi Guest	#4 0 22.04.2025 22:54:00 Просто собрал небольшой контейнер с HAProxy, дал ему простое имя и настроил с HA — загружается за миллисекунды, проверяет, что сервер в сети, прежде чем перенаправлять запросы на конкретный узел. Passkeys для любой системы в домене — кривоваты и не очень хорошо работали с моим менеджером паролей. Также убедитесь, что у вашей учетной записи ‘root’ есть другие способы восстановления (например, Recovery Key или TOTP), иначе окажетесь в ситуации, когда ничего не работает (например, DNS недоступен). Можно сделать что-то подобное с floating IP.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры