+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Разные привилегии для root и пользователя с ролью Администратора?, Proxmox Виртуальная Среда

gabbegubben

Guest

13.01.2023 10:54:00

Я настроил обычного пользователя с ролью Administrator и уже довольно долго успешно им управляю кластером. Как-то захотелось проверить, какой аккаунт ACME у меня настроен, и я не смог его найти. Думал, схожу с ума, пока не обнаружил, что пункт меню ACME действительно пропал.

Я вышел и зашел под "root" вместо этого, и вот он там!

Это баг, или разница между пользователем root и пользователем с ролью Administrator? Еще одно место, где может быть разница между root и Administrator, это когда я пытался удалить узел Ceph monitor. С Administrator я получил это сообщение:

У меня установлена PVE 7.3-3 с репозиториями pve-enterprise.

Matthias. Guest	#2 0 13.01.2023 11:56:00 Если посмотришь в API документации, то увидишь, что этот эндпоинт доступен только для root. По цеф делу — это баг, я отправил исправление на список. https://lists.proxmox.com/pipermail/pve-devel/2023-January/055421.html

gabbegubben Guest	#3 0 13.01.2023 13:13:00 Окей, спасибо за инфу! (и за исправление)

fabian Guest	#4 0 13.01.2023 13:16:00 Хотя мы уже обсуждали, что это ограничение можно снять (заказ сертификатов через ACME работает с учетными записями администраторов, проблема только в управлении учетными записями ACME, к которым нужен root).

gabbegubben

Guest

13.01.2023 13:32:00

Главная проблема в том, что я не смог найти управление аккаунтом ACME без прав root. Если бы там было какое-нибудь уведомление, что для управления аккаунтом ACME нужно быть root, было бы гораздо понятнее. Кстати, если посмотреть на документацию для PVE GUI: https://pve.proxmox.com/pve-docs/chapter-pve-gui.html#_content_panels, там упоминается ACME-запись, но на скриншоте её нет (потому что залогиненный пользователь — не root).

guerbywork

Guest

09.02.2023 15:48:00

У меня та же ситуация: долго не мог понять, что управление аккаунтами ACME требует root-доступ. Мы перешли на аккаунты @pve для каждого администратора вместо root@pam, чтобы соответствовать лучшим практикам безопасности, но пока что вынуждены возвращаться к root@pam из-за сертификатов, а также для хостинга/обновления/повышения версии (доступно только для root@pam, остальные опции серые). Не знаю, есть ли другие части API, которые тоже доступны только через root@pam?

gabbegubben Guest	#7 0 09.02.2023 15:54:00 Ещё одна штука, которую я обнаружил — возможность удалять (уничтожать) Ceph OSD.

scyto Guest	#8 0 29.08.2023 16:36:00 Кажется, это какое-то странное ограничение без какой-либо видимой пользы для безопасности?

scyto

Guest

29.08.2023 23:34:00

А ещё я обнаружил, что просто не могу не использовать _Shell - это нормально? "Connection failed (Error 403: Permission check failed (realm mydomain.com !~ pam)) и через пару секунд я нашёл ответ сам, извини https://forum.proxmox.com/threads/c...l-with-activedirectory-user.69370/post-565980

nockdown Guest	#10 0 28.03.2025 00:16:00 Извини, а эта проблема с доступом только к корню ACME так и не решена?

fabian Guest	#11 0 28.03.2025 09:00:00 Похоже, никто еще не написал патч.

nockdown Guest	#12 0 28.03.2025 14:16:00 Спасибо за ответ! Возможно, есть возможность изменить какие-то права для какой-то директории или добавить пользователя в какую-то группу, чтобы исправить ситуацию, когда доступ к ACME есть только для root?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры