http://proxmox.su Новое в теме Аутентификация через AD Smartcard для веб-GUI. форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Sat, 18 Apr 2026 05:49:02 +0300 Аутентификация через AD Smartcard для веб-GUI. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Прости, что поднимаю старую тему, но если кто-то наткнется на это в Google, я хотел сообщить, что это можно сделать с небольшими изменениями в PVE. Не хочу выкладывать код, если нет интереса, потому что я не уверен, что это абсолютно надежно, но суть в чем: нужно изменить конфигурацию SSL сервера в PVE/Services/pveproxy.pm, чтобы проверять клиентский сертификат, если он есть, и помещать CN из сертификата x509 в запрос. Нужен, конечно, файл CA-пакета, загрузи его из /etc/pve, чтобы он был кластеризован. Нужно написать скрипт, который возьмет код из Auth/PVE.pm, чтобы получить имя пользователя и CN, сделать hash(shared_secret+CN) и зашифровать это в priv/shadow.cfg для пользователя. Нужно изменить PVE/APIServer/AnyEvent.pm’s proxy_request функцию так, чтобы если URI – /api2/extjs/access/ticket, realm – pve, и CN клиентского сертификата в reqstate->hdl, то сделать hash(shared_secret+CN) и отправить это как параметр password. И все работает. Это, по сути, повторное использование realm PVE для сопоставления имен сертификатов пользователям и их авторизация. Цель shared_secret – чтобы пароль был не просто хеш CN, shared_secret нужно читать из файла в /etc/pve, к которому shell-пользователи не имеют доступа. О, да, и нужно будет изменить JavaScript (не помню, в каком файле это было), чтобы разрешить blank на поле пароля. Пользователи вставляют свою смарт-карту и т.д., вводят PIN при загрузке UI, вводят свое имя пользователя и выбирают realm PVE, если он не сохранен, оставляют поле пароля пустым и нажимают «войти».
03.04.2025 23:15:00, CoyoteDen.]]> http://proxmox.su/forum/messages/forum63/message307459/75304-autentifikatsiya-cherez-ad-smartcard-dlya-veb_gui. http://proxmox.su/forum/messages/forum63/message307459/75304-autentifikatsiya-cherez-ad-smartcard-dlya-veb_gui. Thu, 03 Apr 2025 23:15:00 +0300 Proxmox Виртуальная Среда Аутентификация через AD Smartcard для веб-GUI. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Насколько мне известно, ты прав. Все реализации, которые я видел, были специфичны для ОС: либо сама ОС, либо промежуточное ПО делает запрос через браузер для выбора сертификата/PIN, а затем передает его механизму аутентификации. В данном случае Proxmox, вероятно, запросит сертификат, а пользователь выберет его и введет PIN. Proxmox затем проверит сертификат через AD, как SSL-клиентский сертификат, или через отдельный сервер проверки. Возможно, в будущем появится универсальный интерфейс браузера. Я слышал о WebUSB API, который позволит браузеру получить прямой доступ к USB-шине, включая считыватели смарт-карт. Также существуют способы настройки Apache и Tomcat для использования клиентских сертификатов, что по сути является тем, что смарт-карта передала бы. Так что, в общем, на данный момент дело в том, чтобы веб-сайт запрашивал сертификат, как это делается для SSL-клиентских сертификатов, и чтобы ОС занималась запросом смарт-карты.
06.10.2017 18:59:00, cwoelkers.]]> http://proxmox.su/forum/messages/forum63/message307458/75304-autentifikatsiya-cherez-ad-smartcard-dlya-veb_gui. http://proxmox.su/forum/messages/forum63/message307458/75304-autentifikatsiya-cherez-ad-smartcard-dlya-veb_gui. Fri, 06 Oct 2017 18:59:00 +0300 Proxmox Виртуальная Среда Аутентификация через AD Smartcard для веб-GUI. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Насколько я знаю, универсального интерфейса для смарт-карт в браузерах пока нет (поправьте меня, если я не прав).
06.10.2017 18:14:00, dietmar.]]> http://proxmox.su/forum/messages/forum63/message307457/75304-autentifikatsiya-cherez-ad-smartcard-dlya-veb_gui. http://proxmox.su/forum/messages/forum63/message307457/75304-autentifikatsiya-cherez-ad-smartcard-dlya-veb_gui. Fri, 06 Oct 2017 18:14:00 +0300 Proxmox Виртуальная Среда Аутентификация через AD Smartcard для веб-GUI. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Похоже, это больше похоже на запрос функции, чем на что-то другое, но я подумал, что это хорошее место, чтобы начать. В нашем офисе используются смарт-карты для аутентификации практически всего: входы в компьютер, веб-сайты, электронная почта и т.д., и вся аутентификация проверяется через Active Directory. Нашей ИТ-безопасностью была сделана просьба, чтобы все остальные сервисы, в основном серверы, использовали смарт-карты для административной аутентификации. Это довольно просто сделать с SSH, особенно для тех серверов, которые уже могут аутентифицироваться через AD, но GUI Proxmox выглядит проблематичным. Я смог заставить Proxmox аутентифицироваться против AD. Было бы неплохо, если бы использовались группы AD, но поскольку администраторов всего несколько, добавить их всех не составило особого труда. Вопрос в том, будет ли возможность использовать смарт-карту для аутентификации? Может, добавить это в часть настроек диалога аутентификации AD для многофакторной аутентификации (TFA)?
06.10.2017 17:21:00, cwoelkers.]]> http://proxmox.su/forum/messages/forum63/message307456/75304-autentifikatsiya-cherez-ad-smartcard-dlya-veb_gui. http://proxmox.su/forum/messages/forum63/message307456/75304-autentifikatsiya-cherez-ad-smartcard-dlya-veb_gui. Fri, 06 Oct 2017 17:21:00 +0300 Proxmox Виртуальная Среда