+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Auth Module openid-connect, Proxmox Виртуальная Среда

Glowsome

Guest

02.12.2020 02:21:00

Всем привет! Поскольку мне нужна возможность аутентификации для OpenID-connect / OAuth или SAML(2), а реализация от Proxmox как поставщика была отложена с 2017 года (первая просьба появилась в том году), я решил взяться за этот проект и начать разработку. Не радуйтесь слишком сильно, это значит следующее: - мне нужно будет основательно освежить свои знания в Perl (прошло около 20 лет с тех пор, как я последний раз работал с Perl) - мне нужно будет настроить рабочую машину с веткой разработки PVE. Моя базовая площадка будет: - IdP на базе продукта Microfocus AccessManager, который поддерживает несколько механизмов аутентификации, включая SAML2 / OAuth / OpenID-Connect. - Я сосредоточусь в первую очередь на аутентификации, но посмотрю, что смогу сделать в отношении авторизации позже, возможно, даже сProvisioning, если дойду до этого этапа. => Для двух последних этапов это будет означать, что ваш бэкенд/каталог IdP сможет предоставить такую информацию в рамках определенного объема. - Просто чтобы по хорошим манерам раскрыть, какой у меня бэкенд, я использую Microfocus/NetIQ eDirectory.

jbsk

Guest

25.04.2021 22:31:00

Чтобы инициировать окружение SSO после установки Proxmox: Окружение: vscode git init в /usr/share Чтобы установить perl-net-saml2: apt-get install libxml2 make gcc libssl-dev libperl-dev git cpanminus Установите perl-пакет: cpanm Net::SAML2 создайте ссылку: ln -s /usr/local/share/perl/5.28.1/Net/SAML2 /usr/share/perl/5.28.1/Net/SAML2 ln -s /usr/local/share/perl/5.28.1/Net/SAML2 /usr/share/perl5/Net/SAML2 Чтобы правильно перезагрузиться после внесения изменений: Код: systemctl stop pvedaemon && systemctl stop pveproxy systemctl start pvedaemon && systemctl start pveproxy

victorhooi Guest	#3 0 28.12.2020 12:59:00 Привет, Майкл! Ты смог получить ответы, которые тебе были нужны из списка pve-devel? =) Как продвигается проект? С уважением, Виктор

Glowsome

Guest

29.12.2020 03:17:00

Привет, да, я получил свои ответы, очень полезный список участников, но все еще сталкиваюсь с проблемами, которые требуют от меня дополнительного исследования... Пожалуй, потребуется время, чтобы все это собрать, а в праздники (без выходных) все будет на заднем плане. Скорее всего, мои проблемы связаны с тем, что реализация этой функции разбросана по нескольким репозиториям git, и я не знаком с устройством самого PM.

rule88

Guest

12.02.2021 13:22:00

Привет, @Glowsome, как дела с прогрессом? Мне нужно было, может быть, помочь с тестированием. В данный момент у нас есть Keycloak в качестве IdP, и мы также ищем решение Proxmox для OpenID-connect / OAuth или SAML(2). Рад услышать, как я могу помочь, к сожалению, Perl не входит в мой кругозор, не стесняйся писать мне в личку.

victorhooi Guest	#6 0 27.03.2021 04:36:00 @Glowsome Как дела? С какими проблемами ты столкнулся? Может, мы или кто-то другой могли бы помочь? =) Огромное спасибо за то, что начал эту замечательную инициативу.

jbsk Guest	#7 0 18.04.2021 21:11:00 Привет, ты смог продвинуться в своей инициативе? Я протестировал решение keyclock (docker) + pfsense (vm из iso) с samlv2 => всё в порядке. С уважением, Jbsky

dcsapak

Guest

26.04.2021 11:18:00

Привет, здорово, что ты выделил время на это. Ты уже видел документацию для разработчиков? https://pve.proxmox.com/wiki/Developer_Documentation. Наверное, будет неплохой идеей задать вопросы, связанные с разработкой, на mailing list pve-devel (и, возможно, отправить свои патчи).

jbsk

Guest

02.05.2021 22:23:00

Привет, dcsapak. Конечно, я пришлю патч, если смогу что-то сделать с Saml. Но пока самое сложное еще впереди. Я на этапе редиректа с некоторыми правками.

Пока ничего действительно полезного.

Всё еще прикрепляю свои исходники. С уважением, Jbsky

jbsk

Guest

#10

15.05.2021 00:38:00

Здравствуйте, настройка, чтобы это работало с моими источниками: Предполагая, что у вас уже есть рабочая среда keycloak/pfsense в SSO, чтобы настроить доменную часть, добавьте следующее в файл /etc/pve/domains.cfg. Код: root@node2:/usr/share# cat /etc/pve/domains.cfg

saml: DOM
Identity_Provider_Entity_ID https://key.jbsky.lan/auth/realms/master
Service_Provider_Entity_ID pve
Identity_Provider_Url_Metadata https://key.jbsky.lan/auth/realms/master/protocol/saml/descriptor
Identity_Provider_x509_CA_Certificate /etc/ssl/certs/cacert_jbsky.pem
Service_Provider_Private_Key /saml/key
Service_Provider_Sign-on_URL api2/saml/access/sso
default 0 /saml/key - это часть приватного ключа, которую нужно получить в клиенте, настроенном в keycloak.

Преобразуйте его в формат rsa приватного ключа. -----BEGIN RSA PRIVATE KEY----- MIIE[...]== -----END RSA PRIVATE KEY----- Часть Keycloak Соответствующие идентификаторы (SP и IdP)

С уважением, Jbsky

jbsk Guest	#11 0 23.05.2021 23:34:00 SAMLv2 работает с пакетом cpanm Net::SAML2, последний доступный источник: src: https://github.com/jbsky/proxmox-saml2-auth/commit/d33b7f542855ecb119eb3077e194e5df3550cc21.diff К сожалению, поскольку для пакета cpanm Net::SAML2 нет debian-пакета, команда разработчиков Proxmox его поддерживать не будет. Судя по обмену письмами, они предпочитают оставаться с OpenID, используя эту библиотеку на Rust: => https://github.com/ramosbugs/openidconnect-rs Эта библиотека будет "привязана" к perlmod, доступному здесь (https://git.proxmox.com/?p=perlmod.git;a=summary) С уважением, Jbsky

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры