Fragen zur User-Verwaltung

S

S3v|\|

New Member
Sep 13, 2024
8
1
3
Hallo zusammen

Ich habe bei mir ein PVE 8.4.1 Cluster aus zwei Rechnern, ein MGW 8.2.0 und ein PBS 3.4.1 jeweils als VM im Einsatz.
Bisher lief alles nur mit root - davon will ich wegkommen, aber die Benutzerverwaltung ist für mich nicht ganz schlüssig und ich bräuchte hierbei etwas Hilfe:

Überall hab ich einen Benutzer über Web-Gui im pve-realm und auf jedem Rechner/VM hab ich jeweils einen sudo-user im pam angelegt.
Erste Frage: was ist besser: beim PVE-Cluster auf jeder Maschine einen anderen Sudo-Benutzer anlegen oder auf allen den gleichen Benutzer mit dem gleichen Passwort?
Für mich ersichtliche Vorteile: eigene Benutzer -> mehr Sicherheit; gleicher Benutzer -> man kann sich mit einem login überall anmelden, gibt es sonst noch Vor- bzw. Nachteile?

Auf dem PVE-Cluster kann ich in der Web-gui sowohl pve als auch pam nutzen. alle user haben auf "/" die Rolle "Administrator". Dennoch müssen sich alle user in der web-Shell einloggen - root war automatisch schon eingeloggt. Ausserdem kann sich der pve-user in der Shell gar nicht einloggen - Ich dachte der Unterschied zwischen "Administrator" und "PVEAdmin" ist doch, dass man über die Shell auf das System zugreifen kann - hab ich das falsch verstanden?

Folgende Fragen sind zwar in diesem Thread falsch, ich möchte sie aber dennoch stellen, da sie zum gleichen Thema gehören:
Sowohl im MGW als auch im PBS habe ich sowohl pam- als auch pmg- bzw. pbs-Realm aktiviert. Ich kann aber keinen pam-user hinzufügen:
In MGW:
Als Root erhalte ich die Meldung "create user failed: You cannot create user in the PAM realm (500)" als der andere Admin-User erhalte ich die Meldung "Permission check failed (user != root@pam) (403)". Es ist egal ob ich einen bestehenden pam-user eintrage oder ob ich einen neuen machen lassen möchte.

Im PBS kann ich bei "Add User" den pam-Realm erst gar nicht auswählen.

Was mache ich bei den beiden falsch?
 
S3v|\| said:
Hallo zusammen

Ich habe bei mir ein PVE 8.4.1 Cluster aus zwei Rechnern, ein MGW 8.2.0 und ein PBS 3.4.1 jeweils als VM im Einsatz.
Bisher lief alles nur mit root - davon will ich wegkommen, aber die Benutzerverwaltung ist für mich nicht ganz schlüssig und ich bräuchte hierbei etwas Hilfe:

Überall hab ich einen Benutzer über Web-Gui im pve-realm und auf jedem Rechner/VM hab ich jeweils einen sudo-user im pam angelegt.
Erste Frage: was ist besser: beim PVE-Cluster auf jeder Maschine einen anderen Sudo-Benutzer anlegen oder auf allen den gleichen Benutzer mit dem gleichen Passwort?
Für mich ersichtliche Vorteile: eigene Benutzer -> mehr Sicherheit; gleicher Benutzer -> man kann sich mit einem login überall anmelden, gibt es sonst noch Vor- bzw. Nachteile?

Auf dem PVE-Cluster kann ich in der Web-gui sowohl pve als auch pam nutzen. alle user haben auf "/" die Rolle "Administrator". Dennoch müssen sich alle user in der web-Shell einloggen - root war automatisch schon eingeloggt. Ausserdem kann sich der pve-user in der Shell gar nicht einloggen - Ich dachte der Unterschied zwischen "Administrator" und "PVEAdmin" ist doch, dass man über die Shell auf das System zugreifen kann - hab ich das falsch verstanden?

Folgende Fragen sind zwar in diesem Thread falsch, ich möchte sie aber dennoch stellen, da sie zum gleichen Thema gehören:
Sowohl im MGW als auch im PBS habe ich sowohl pam- als auch pmg- bzw. pbs-Realm aktiviert. Ich kann aber keinen pam-user hinzufügen:
In MGW:
Als Root erhalte ich die Meldung "create user failed: You cannot create user in the PAM realm (500)" als der andere Admin-User erhalte ich die Meldung "Permission check failed (user != root@pam) (403)". Es ist egal ob ich einen bestehenden pam-user eintrage oder ob ich einen neuen machen lassen möchte.

Im PBS kann ich bei "Add User" den pam-Realm erst gar nicht auswählen.

Was mache ich bei den beiden falsch?
Click to expand...
Hi, du musst erst einmal verstehen, dass es zwei Arten von Usern gibt, dann erklärt sich der Rest von selbst.
Ich nehme mal den PVE.
Du hast im Linux Unterbau (Debian) deinen User root (PAM) und der ist auf der GUI zusätzlich berechtigt.
Legst du im Debian einen weiteren User an, hat der keine Rechte für Updates oder sonstige Administration, mit dem sudo Recht hast du das aber, bei Bedarf. Dieser User darf auf die Shell, aber noch nichts in der GUI. Wenn du danach den User als PAM User in der GUI anlegst und berechtigst, kann der User auf GUI und Shell zugreifen. Der Autologin in der Shell geht aber immer nur mit root.
Wenn du einen Cluster hast musst du den gleichen User auf allen Nodes anlegen. Ob du das Passwort dann gleich hälst, ist Geschmackssache.
Legst du stattdessen einen PVE User an, dann ist der automatisch auf dem gesamten Cluster nutzbar, aber dieser User hat niemals Rechte auf dem Linux Unterbau, also der Shell.

Bei meinen Kunden, nutzt in der Regel keiner root, außer eventuell mal zum Patchen. Bei den größeren Kunden, hat gar kein Admin das root Kennwort, dies wird im Tresor verwahrt. Dort haben dann 2-3 Admins einen PAM User mit sudo Recht um Updates auszuführen und alle Admins haben entweder einen PVE User oder nutzen ihre LDAP Accounts. Der normale Admin muss in der Regel gar nicht auf die Shell.
 
  • Like
Reactions: Johannes S, UdoB and ThoSo
Danke für die Antwort.
Mit Shell hab ich nur die in der web-gui gemeint.
Dass der OS-Benutzer (pam) und der Web-Benutzer (pve) zwei verschiedene Arten von Benutzern sind, hab ich schon verstanden. Ich kenne das Prinzip z.B. auch von nextcloud.
Für mich war nur nicht klar, was die Vorteile von einem pam-User sind, der zusätzlich in der web-gui berechtigt wird. Wenn ich es jetzt verstehe, dann hat er nicht wirklich Vorteile, denn er kann über die Weboberfläche trotzdem keine Updates installieren und in der (web-)Shell muss er sich auch nochmal extra anmelden. Zusätzlich muss ich die Passwörter auf allen nodes synchron halten. Der einzige Vorteil ist, dass das Passwort zum Nutzen der Shell das gleiche wie zum Einloggen in die web-gui ist.
 
  • Like
Reactions: Falk R.
You must log in or register to reply here.
Top Bottom