[SOLVED] API Token Privilege Seperation scheint nicht zu funktionieren

Q

qupfer

Member
Sep 2, 2019
6
0
21
36
Hi, ein Konfigurationsfehler kann ich natürlich nicht ausschließen, aber ich habe den verdacht, dass die Zuweisung von Rechten nur auf einzelne API Token nicht (richtig) funktioniert.

Folgende Befehle aka Script nutze ich für den API Zugriff:
Bash: 
#!/bin/bash
jenkins_token=jenkins.ci@my.domain!dev
jenkins_secret=aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee
host=pve8.my.domain
curl -s -k -H "Authorization: PVEAPIToken=${jenkins_token}=${jenkins_secret}" "https://${host}:8006/api2/json/access/permissions"

und gibt mir {"data":{}} zurück.

Wie ich vorgegangen bin bzw. dachte, dass es funktionieren sollte(tm).

Ich habe in der Gui unter "Datacenter -> Permissions -> API Tokens" einen Token erstellt und "Privilege Seperation" aktiviert.
In der GUI auf "Show Permission" geklickt und sehe ein leeres Feld. Soweit ok.
Dann "Datacenter -> Permissions" und dort ADD -> API Token Permission.
Dort dann:
Path: /
API Token: jenkins.ci@my.domain!dev
Role: Administrator
Propagate: checked

Dann wieder zurück zu Datacenter -> Permissions -> API Tokens und dort wiederum Show Permissions. Nach wie vor leer und die API gibt mir weiterhin `{"data":{}}` zurück.

Besten Dank
Henning

PS: Version: 8.0.4
 
Last edited:
privilege separation heißt dass das API token jeweils ein subset der privileges vom zugehoerigen user kriegt. welche permissions hat denn der jenkis.ci@my.domain user in deinem fall?
 
Besten Dank, dass war der Fehler. Der Nutzer selber hatte keine Berechtigung, wollte nur dem API Key welche geben.
 
Last edited:
das geht natuerlich nicht - sonst koennt ich mir ja durch erstellen eines tokens hoehere rechte geben ;)
 
  • Like
Reactions: divStar
fabian said:
das geht natuerlich nicht - sonst koennt ich mir ja durch erstellen eines tokens hoehere rechte geben ;)
Click to expand...
So natürlich finde ich das nicht.
Es spricht ja rein von der „Logik“ nichts dagegen, die Erstellung eines Tokens zu verweigern, wenn versucht wird höhere Rechte zu konfigurieren. Aber das ist jetzt Philosophie und hat nichts mehr mit dem Thema zu tun. Ich weiß jetzt wie es bei proximity implementiert ist. Das genügt mir
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back