Привет всем,
Пытаюсь настроить вход по WebAuthn passkey для одного пользователя (`root@pam`) на свежей установке Proxmox VE 8.4.1. Настройка работала отлично на прошлой неделе — то же железо, тот же домен, та же конфигурация прокси — но теперь постоянно получаю ошибку:
Цель: Включить вход по passkey (Touch ID через Safari на macOS)
Использовать валидный HTTPS (сертификат Let's Encrypt через обратный прокси Caddy)
Доступ через DuckDNS (публичный домен с внутренней маршрутизацией)
Без TOTP или fallback 2FA — вход по passkey только для `root@pam`
Настройка Proxmox VE 8.4.1 (чистая установка, не обновлялась)
Обратный прокси Caddy с сертификатом Let’s Encrypt:
```
Code: butch-proxmox.duckdns.org {
reverse_proxy 127.0.0.1:8006
encode zstd gzip
log {
output file /var/log/caddy/proxmox-access.log
format json
}
}
```
DuckDNS домен: https://<redacted>.duckdns.org
HTTPS проверен, проблем с доверием сертификата в браузере нет
Touch ID работает для других WebAuthn сайтов
macOS клиент; также тестировал Chrome с локальным переопределением DNS
Что я пробовал:
- Создал /etc/pve/priv/tfa.json с:
```
Code: {
"webauthn": {
"origin": "https://<redacted>.duckdns.org"
}
}
```
- Проверил право собственности: root:www-data, права 600
- Перезапустил:
```
Code: systemctl restart pveproxy
systemctl restart pvedaemon
systemctl restart pvestatd
```
- Установил необходимый Perl модуль:
```
Code: apt install cpanminus build-essential libssl-dev libperl-dev
cpanm Authen::WebAuthn
perl -MAuthen::WebAuthn -e 1
```
- Очистил /etc/pve/domains.cfg :
`pam: pam
comment Linux PAM standard authentication`
- Удалил все настройки TOTP (нет :totp или :x: флагов в /etc/pve/user.cfg )
- Попробовал включить WebAuthn в GUI под: Datacenter → Permissions → Realms → pam → TFA (без эффекта — поле origin никогда не появляется)
- Вывод логов journalctl -u pveproxy -f показал (до исправления):
```
Code: file /etc/pve/domains.cfg line 4 (skip section 'pam'): unsupported type 'realm'
```
Исправлено после исправления realm: `pam → pam: pam`
Несмотря на все это, все равно получаю ошибку.
Заметки:
- То же самая конфигурация работала неделю назад (Touch ID WebAuthn)
- Это одноузловая система, кластера нет
- Полностью валидный HTTPS + DuckDNS + правильные сертификаты
- Модуль WebAuthn присутствует и работает в Perl
Вопрос: Что еще можно проверить, чтобы Proxmox распознал `tfa.json`? Есть ли изменения в 8.4.1, которые требуют дополнительной конфигурации WebAuthn? Есть ли известный способ принудительной перезагрузки конфигурации бэкенда? Готов предоставить логи, вывод отладки или минимальный пример воспроизведения.
Спасибо!
— Chance?
Пытаюсь настроить вход по WebAuthn passkey для одного пользователя (`root@pam`) на свежей установке Proxmox VE 8.4.1. Настройка работала отлично на прошлой неделе — то же железо, тот же домен, та же конфигурация прокси — но теперь постоянно получаю ошибку:
Цель: Включить вход по passkey (Touch ID через Safari на macOS)
Использовать валидный HTTPS (сертификат Let's Encrypt через обратный прокси Caddy)
Доступ через DuckDNS (публичный домен с внутренней маршрутизацией)
Без TOTP или fallback 2FA — вход по passkey только для `root@pam`
Настройка Proxmox VE 8.4.1 (чистая установка, не обновлялась)
Обратный прокси Caddy с сертификатом Let’s Encrypt:
```
Code: butch-proxmox.duckdns.org {
reverse_proxy 127.0.0.1:8006
encode zstd gzip
log {
output file /var/log/caddy/proxmox-access.log
format json
}
}
```
DuckDNS домен: https://<redacted>.duckdns.org
HTTPS проверен, проблем с доверием сертификата в браузере нет
Touch ID работает для других WebAuthn сайтов
macOS клиент; также тестировал Chrome с локальным переопределением DNS
Что я пробовал:
- Создал /etc/pve/priv/tfa.json с:
```
Code: {
"webauthn": {
"origin": "https://<redacted>.duckdns.org"
}
}
```
- Проверил право собственности: root:www-data, права 600
- Перезапустил:
```
Code: systemctl restart pveproxy
systemctl restart pvedaemon
systemctl restart pvestatd
```
- Установил необходимый Perl модуль:
```
Code: apt install cpanminus build-essential libssl-dev libperl-dev
cpanm Authen::WebAuthn
perl -MAuthen::WebAuthn -e 1
```
- Очистил /etc/pve/domains.cfg :
`pam: pam
comment Linux PAM standard authentication`
- Удалил все настройки TOTP (нет :totp или :x: флагов в /etc/pve/user.cfg )
- Попробовал включить WebAuthn в GUI под: Datacenter → Permissions → Realms → pam → TFA (без эффекта — поле origin никогда не появляется)
- Вывод логов journalctl -u pveproxy -f показал (до исправления):
```
Code: file /etc/pve/domains.cfg line 4 (skip section 'pam'): unsupported type 'realm'
```
Исправлено после исправления realm: `pam → pam: pam`
Несмотря на все это, все равно получаю ошибку.
Заметки:
- То же самая конфигурация работала неделю назад (Touch ID WebAuthn)
- Это одноузловая система, кластера нет
- Полностью валидный HTTPS + DuckDNS + правильные сертификаты
- Модуль WebAuthn присутствует и работает в Perl
Вопрос: Что еще можно проверить, чтобы Proxmox распознал `tfa.json`? Есть ли изменения в 8.4.1, которые требуют дополнительной конфигурации WebAuthn? Есть ли известный способ принудительной перезагрузки конфигурации бэкенда? Готов предоставить логи, вывод отладки или минимальный пример воспроизведения.
Спасибо!
— Chance?
