Fragen zur User-Verwaltung

S

S3v|\|

New Member
Sep 13, 2024
10
1
3
Hallo zusammen

Ich habe bei mir ein PVE 8.4.1 Cluster aus zwei Rechnern, ein MGW 8.2.0 und ein PBS 3.4.1 jeweils als VM im Einsatz.
Bisher lief alles nur mit root - davon will ich wegkommen, aber die Benutzerverwaltung ist für mich nicht ganz schlüssig und ich bräuchte hierbei etwas Hilfe:

Überall hab ich einen Benutzer über Web-Gui im pve-realm und auf jedem Rechner/VM hab ich jeweils einen sudo-user im pam angelegt.
Erste Frage: was ist besser: beim PVE-Cluster auf jeder Maschine einen anderen Sudo-Benutzer anlegen oder auf allen den gleichen Benutzer mit dem gleichen Passwort?
Für mich ersichtliche Vorteile: eigene Benutzer -> mehr Sicherheit; gleicher Benutzer -> man kann sich mit einem login überall anmelden, gibt es sonst noch Vor- bzw. Nachteile?

Auf dem PVE-Cluster kann ich in der Web-gui sowohl pve als auch pam nutzen. alle user haben auf "/" die Rolle "Administrator". Dennoch müssen sich alle user in der web-Shell einloggen - root war automatisch schon eingeloggt. Ausserdem kann sich der pve-user in der Shell gar nicht einloggen - Ich dachte der Unterschied zwischen "Administrator" und "PVEAdmin" ist doch, dass man über die Shell auf das System zugreifen kann - hab ich das falsch verstanden?

Folgende Fragen sind zwar in diesem Thread falsch, ich möchte sie aber dennoch stellen, da sie zum gleichen Thema gehören:
Sowohl im MGW als auch im PBS habe ich sowohl pam- als auch pmg- bzw. pbs-Realm aktiviert. Ich kann aber keinen pam-user hinzufügen:
In MGW:
Als Root erhalte ich die Meldung "create user failed: You cannot create user in the PAM realm (500)" als der andere Admin-User erhalte ich die Meldung "Permission check failed (user != root@pam) (403)". Es ist egal ob ich einen bestehenden pam-user eintrage oder ob ich einen neuen machen lassen möchte.

Im PBS kann ich bei "Add User" den pam-Realm erst gar nicht auswählen.

Was mache ich bei den beiden falsch?
 
S3v|\| said:
Hallo zusammen

Ich habe bei mir ein PVE 8.4.1 Cluster aus zwei Rechnern, ein MGW 8.2.0 und ein PBS 3.4.1 jeweils als VM im Einsatz.
Bisher lief alles nur mit root - davon will ich wegkommen, aber die Benutzerverwaltung ist für mich nicht ganz schlüssig und ich bräuchte hierbei etwas Hilfe:

Überall hab ich einen Benutzer über Web-Gui im pve-realm und auf jedem Rechner/VM hab ich jeweils einen sudo-user im pam angelegt.
Erste Frage: was ist besser: beim PVE-Cluster auf jeder Maschine einen anderen Sudo-Benutzer anlegen oder auf allen den gleichen Benutzer mit dem gleichen Passwort?
Für mich ersichtliche Vorteile: eigene Benutzer -> mehr Sicherheit; gleicher Benutzer -> man kann sich mit einem login überall anmelden, gibt es sonst noch Vor- bzw. Nachteile?

Auf dem PVE-Cluster kann ich in der Web-gui sowohl pve als auch pam nutzen. alle user haben auf "/" die Rolle "Administrator". Dennoch müssen sich alle user in der web-Shell einloggen - root war automatisch schon eingeloggt. Ausserdem kann sich der pve-user in der Shell gar nicht einloggen - Ich dachte der Unterschied zwischen "Administrator" und "PVEAdmin" ist doch, dass man über die Shell auf das System zugreifen kann - hab ich das falsch verstanden?

Folgende Fragen sind zwar in diesem Thread falsch, ich möchte sie aber dennoch stellen, da sie zum gleichen Thema gehören:
Sowohl im MGW als auch im PBS habe ich sowohl pam- als auch pmg- bzw. pbs-Realm aktiviert. Ich kann aber keinen pam-user hinzufügen:
In MGW:
Als Root erhalte ich die Meldung "create user failed: You cannot create user in the PAM realm (500)" als der andere Admin-User erhalte ich die Meldung "Permission check failed (user != root@pam) (403)". Es ist egal ob ich einen bestehenden pam-user eintrage oder ob ich einen neuen machen lassen möchte.

Im PBS kann ich bei "Add User" den pam-Realm erst gar nicht auswählen.

Was mache ich bei den beiden falsch?
Click to expand...
Hi, du musst erst einmal verstehen, dass es zwei Arten von Usern gibt, dann erklärt sich der Rest von selbst.
Ich nehme mal den PVE.
Du hast im Linux Unterbau (Debian) deinen User root (PAM) und der ist auf der GUI zusätzlich berechtigt.
Legst du im Debian einen weiteren User an, hat der keine Rechte für Updates oder sonstige Administration, mit dem sudo Recht hast du das aber, bei Bedarf. Dieser User darf auf die Shell, aber noch nichts in der GUI. Wenn du danach den User als PAM User in der GUI anlegst und berechtigst, kann der User auf GUI und Shell zugreifen. Der Autologin in der Shell geht aber immer nur mit root.
Wenn du einen Cluster hast musst du den gleichen User auf allen Nodes anlegen. Ob du das Passwort dann gleich hälst, ist Geschmackssache.
Legst du stattdessen einen PVE User an, dann ist der automatisch auf dem gesamten Cluster nutzbar, aber dieser User hat niemals Rechte auf dem Linux Unterbau, also der Shell.

Bei meinen Kunden, nutzt in der Regel keiner root, außer eventuell mal zum Patchen. Bei den größeren Kunden, hat gar kein Admin das root Kennwort, dies wird im Tresor verwahrt. Dort haben dann 2-3 Admins einen PAM User mit sudo Recht um Updates auszuführen und alle Admins haben entweder einen PVE User oder nutzen ihre LDAP Accounts. Der normale Admin muss in der Regel gar nicht auf die Shell.
 
  • Like
Reactions: S3v|\|, Thomas4000, Johannes S and 2 others
Danke für die Antwort.
Mit Shell hab ich nur die in der web-gui gemeint.
Dass der OS-Benutzer (pam) und der Web-Benutzer (pve) zwei verschiedene Arten von Benutzern sind, hab ich schon verstanden. Ich kenne das Prinzip z.B. auch von nextcloud.
Für mich war nur nicht klar, was die Vorteile von einem pam-User sind, der zusätzlich in der web-gui berechtigt wird. Wenn ich es jetzt verstehe, dann hat er nicht wirklich Vorteile, denn er kann über die Weboberfläche trotzdem keine Updates installieren und in der (web-)Shell muss er sich auch nochmal extra anmelden. Zusätzlich muss ich die Passwörter auf allen nodes synchron halten. Der einzige Vorteil ist, dass das Passwort zum Nutzen der Shell das gleiche wie zum Einloggen in die web-gui ist.
 
  • Like
Reactions: Falk R.
Kann mich nicht mehr mit root anmelden. ssh geht im Prinzip, aber es dauert ewig (wie wenn auf irgendwas gewartet wird). Weiteren user angelegt, aber bei usermod -aG pveadmin <newuser> kommt usermod: group 'pveadmin' does not exist und es dauert auch ewig.
Hat da wer 'ne Idee zu? :confused:

1755347184556.png

Edit: woohoo, hab es wenigstens geschafft, einen PVE-Admin anzulegen, so daß ich wenigstens wieder auf die Weboberfläche komm. :p
Aber was mit (at)pam nicht stimmt, versteh ich net. o_O
 
Last edited:
Gute Idee, aber sieht net so aus.
Code: 
root@ts473a-pve:~# df -h
Filesystem        Size  Used Avail Use% Mounted on
...
rpool/ROOT/pve-1   18T  2.5G   18T   1% /
...

Jetzt isses es wieder ok, aber ich check net, wieso. :oops: Hab mit Samba und ksmbd experimentiert. Das ist ein QNAP, jetzt halt mit PVE. :cool:
 
Wenn dein root 18T groß ist, sieht das stark nach langsamen HDDs aus. Wenn die HDD aus irgendwelchen Gründen extrem laggy ist, dann kann es auch zu solchen Phänomenen kommen.
 
Hmnaja... IronWolf Pro NAS... kann ich mir nicht so recht vorstellen. Scrub läuft mit 600-800M/s.
Aktuell geht es ja auch wieder normal. Ich schätze, da hatt ich irgendwas vergurkt mit meinen Experimenten. Konnte aber auch bei Google nix wirklich schlüssiges dazu finden.
 
6equj5 said:
Hmnaja... IronWolf Pro NAS... kann ich mir nicht so recht vorstellen. Scrub läuft mit 600-800M/s.
Aktuell geht es ja auch wieder normal. Ich schätze, da hatt ich irgendwas vergurkt mit meinen Experimenten. Konnte aber auch bei Google nix wirklich schlüssiges dazu finden.
Click to expand...
Auch so eine NAS HDD, dreht nur mit 7,2k und wenn da irgend ein Prozess die Disk voll auslastet, dann steigen die Latenzen solcher HDDs schon mal sehr extrem. Hast du ein Monitoring? Damit wüsste man beim nächsten mal ob zu der Zeit etwas auf der Disk los ist.
 
  • Like
Reactions: Johannes S
You must log in or register to reply here.
Top Bottom