+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

confused by TFA config, Proxmox Виртуальная Среда

Enthylsa

Guest

24.05.2023 09:19:00

Привет, я немного запутался с настройкой TFA. У меня есть кластер PVE, состоящий из 3 узлов, на каждом из которых у пользователя root разные пароли. Когда я пытаюсь включить TOTP, даже через конфигурацию пользователя, я всегда попадаю на страницу конфигурации TFA в разделе Центр данных / Разрешения. Если я создаю TOTP для узла 1 и сохраняю его, также требуется TFA для пользователя root на узлах 2 и 3. Я ожидал, что либо учетная запись root как-то синхронизирована между узлами (но это не так, я не могу войти с учетными данными root узла 1 на узлы 2 или 3), либо что TFA можно настраивать для каждого пользователя на конкретном узле. Какова здесь лучшая практика?

atrain

Guest

04.07.2023 02:50:00

У меня подобная проблема, и мне тоже интересно узнать о лучших практиках управления TFA в кластере. В моем случае TFA был включен на узле 1 (где был создан кластер), а затем я добавил узел 2 (без TFA) в ранее созданный кластер на узле 1. Чтобы войти на узел 1, я использовал пароль root для узла 1 и код TFA (изначально настроенный на узле 1), а для входа на узел 2 я использовал пароль root для узла 2 и код TFA (также изначально настроенный на узле 1). Это правильное поведение?

dcsapak

Guest

04.07.2023 09:51:00

да, опции tfa действуют на весь кластер (как и все пользователи, не относящиеся к @pam) единственное 'узкоспецифичное' у пользователей — это пароль и наличие пользователей pam (поскольку проверка пароля выполняется не нами, а системой) все пользователи @pve, например, одинаковы на кластере

atrain Guest	#4 0 05.07.2023 06:02:00 Фантастично, @dcsapak, это очень полезная информация!

Enthylsa

Guest

07.07.2023 08:39:00

Просто для ясности: синхронизированный кластерный пользователь с TFA работает с pve пользователями, но не работает с pam пользователем? Потому что у меня на каждом узле в кластере есть pam пользователь с разными паролями. Но когда я добавляю tea для pam пользователя на первом узле, я не могу создать tfa для того же pam пользователя на втором узле, но tfa от первого пользователя не работает для пользователя на втором узле.

atrain Guest	#6 0 11.07.2023 00:51:00 Если я не ошибаюсь, настройки TFA распространяются на весь кластер. Пользователи PAM специфичны для узла, что означает, что аккаунты root@pam на каждом сервере будут аутентифицировать пароль на индивидуальном узле, под которым они изначально были настроены, но когда вас попросят ввести код TOTP, вы будете использовать метод TOPT или TFA, который был настроен для кластера.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры