Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    [УЧЕБНИК] Аутентификация Proxmox на основе членства в группах LDAP / Синхронизация пользователей LDAP - РУКОВОДСТВО ПО ИСПОЛЬЗОВАНИЮ

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    [УЧЕБНИК] Аутентификация Proxmox на основе членства в группах LDAP / Синхронизация пользователей LDAP - РУКОВОДСТВО ПО ИСПОЛЬЗОВАНИЮ, Proxmox Виртуальная Среда
     
    Martini
    Guest
    #1
    0
    27.01.2021 12:27:00
    Существует много различных открытых тем на форумах о том, как настроить аутентификацию LDAP на PROXMOX VE. К сожалению, нет единого консолидированного документа на эту тему, и поэтому я решил написать руководство HOW-TO о том, как настроить аутентификацию LDAP, включая репликацию пользователей. Итак, что необходимо для этого: 1) Установленный PROXMOX VE — с этим не должно быть проблем. Ребята из Proxmox проделали отличную работу, установка на самом деле очень простая. 2) Установленный сервер LDAP. Мы используем OpenLDAP (https://www.openldap.org/). Моя рекомендация — настроить LDAP таким образом, чтобы обеспечить зашифрованную связь на порту 636 (LDAPs) — вам понадобятся SSL сертификаты. Также реализуйте атрибут memberof, он поможет вам осуществлять синхронизацию пользователей на основе членства в группах (это значит, что если вы хотите добавить пользователя в Proxmox, просто добавьте его в соответствующую группу LDAP и всё). Давайте покажем несколько скриншотов и настройки — изображения всегда лучше. 1) Создайте обычного пользователя LDAP. В этом случае мы создали пользователя z-type_user1, который является членом домена dc-z-type, dc=cz и относится к OU=People. 2) Создайте группу LDAP, например proxmox_group, и добавьте вновь созданного пользователя z-type_new1 в качестве члена. 3) Вам нужно создать служебную учетную запись в LDAP для доступа к дереву LDAP из PROXMOX (это связано с вопросами безопасности). Этот пользователь будет использоваться в конфигурации PROXMOX. 4) Теперь вы можете попробовать получить список людей, которые являются членами группы LDAP proxmox_group, с помощью утилиты ldapsearch: ldapsearch -w <PASSWORD> -H ldaps://<LDAP_HOSTNAME> -b ou=People,dc=z-type,dc=cz -s one '(&(objectClass=inetorgPerson)(memberOf=cn=proxmox_group,ou=Groups,dc=z-type,dc=cz))' -D "uid=proxmox_srv,ou=Service,dc=z-type,dc=cz". 5) Если всё в порядке, вы увидите список людей со всеми атрибутами, которые принадлежат пользователю. Например: OK — теперь у нас есть сервер LDAP, пользователь LDAP и группа LDAP, готовые к работе. Теперь давайте переключимся на Proxmox VE. 5) Создайте новую область аутентификации REALM — войдите в PROXMOX VE, нажмите на Datacenter, затем выберите Permissions и Authentication. Нажмите Добавить и выберите LDAP SERVER. Заполните необходимую информацию. 5) Создайте новую группу Proxmox — в данном случае LDAP_Administrators. 6) Назначьте права администратора группе LDAP_Administrators. 7) Теперь попробуйте получить пользователей из LDAP (для предварительного просмотра нажмите кнопку Preview) или выполните синхронизацию для реального переноса пользователей. Продолжение в теме ответа (максимум 10 изображений).
     
     
     
    lowerym
    Guest
    #2
    0
    21.02.2021 00:19:00
    Спасибо за пост, он был очень полезен. Однако у меня возникла проблема после синхронизации: я не могу войти с пользователем, с которым выполнялась синхронизация. Если я смотрю журнал с помощью journalctl во время попытки входа, вижу сообщение о неудачной аутентификации; rhose=xxx.xxx.xxx.xxx (сервер, с которого я пытался войти) user=me@domain.net msg=80090308: LdapErr: DSID-0c090446, комментарий: ошибка AcceptSecurityContect, данные 52e, v2580. Это указывает на то, что я использовал неправильный пароль. Но это точно не неправильный пароль. Есть идеи?
     
     
     
    Martini
    Guest
    #3
    0
    22.02.2021 14:16:00
    Привет, Lowerym! Спасибо за положительную реакцию на мой учебник. Судя по ошибке, указанной в journalctl, похоже, что проблема на сервере LDAP, который не может аутентифицировать вашего пользователя. В общем, LDAP возвращает следующую ошибку: msg=80090308: LdapErr: DSID-0c090446, comment: AcceptSecurityContect error, data 52e, v2580. Проверьте, не относится ли это к вашему случаю: https://stackoverflow.com/questions...ntext-error-data-52e-v2580-even-with-the-corr. Вы используете реализацию LDAP или LDAPS? Можете ли вы подключиться через браузер LDAP (например, linux ldapsearch) к вашему LDAP-дереву, используя пользователя "me"?
     
     
     
    Martini
    Guest
    #4
    0
    16.11.2022 09:39:00
    Привет, Erazor, все зависит от того, хочешь ли ты синхронизировать группы из LDAP с Proxmox. Думаю, это не обязательное условие для базовой настройки, как видно из ранее предоставленных скриншотов. Но если ты хочешь синхронизировать свои группы (например, группу proxmox ldap) и повысить уровень аутентификации, ты можешь использовать что-то вроде этого для фильтра группы: (&(ObjectClass=groupofnames)(cn=*proxmox*)). Предварительное условие - это настройка LDAP для поддержки ObjectClass groupofnames, а название группы proxmox LDAP должно содержать строку, например, *proxmox*.
     
     
     
    curtis
    Guest
    #5
    0
    09.05.2023 10:57:00
    Привет всем, не подскажете, как преобразовать этот фильтр ((&(ObjectClass=groupofnames)(cn=*proxmox*))) в строке "User Filter"? Когда я ищу такие аккаунты с помощью ldapsearch, он находит всё, но с такими же настройками ничего не находит в proxmox при синхронизации. Можете подсказать, в чем дело?
     
     
     
    jure965
    Guest
    #6
    0
    31.07.2023 10:03:00
    Если вы предпочитаете таймеры systemd, вот несколько шаблонов для синхронизации реалмов. Учтите, что при выборе имени реалма необходимо следить за допустимыми символами для единиц systemd. Добавление файлов юнитов службы: Bash: systemctl edit --full --force realm-sync@.service systemctl edit --full --force realm-sync@.timer Шаблон юнита службы: Код: [Unit] Description=pveum realm sync '%I' service Wants=realm-sync@%i.timer

    [Service] Type=oneshot ExecStart=/usr/sbin/pveum realm sync %i

    [Install] WantedBy=multi-user.target Шаблон таймера - настройте OnCalendar по своему усмотрению: Код: [Unit] Description=pveum realm sync '%I' timer Requires=realm-sync@%i.service

    [Timer] Unit=realm-sync@%i.service OnCalendar=hourly

    [Install] WantedBy=timers.target Активируйте и запустите - замените "my-realm" на имя вашего реалма: Bash: systemctl enable realm-sync@my-realm.timer systemctl start realm-sync@my-realm.timer И на этом всё. Вы можете синхронизировать несколько реалмов, используя один и тот же шаблон, активируя и запускает несколько таймеров с разными именами реалмов.
     
     
     
    ErazorVIP
    Guest
    #7
    0
    16.11.2022 01:15:00
    Что мне нужно ввести в поле "Фильтр группы"? Это обязательное поле.
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры