In PVE gibt es ja den "Proxmox VE Authentication Server". Den finde ich ja sinnvoll, da man sich damit ja viel Arbeit erspart, wenn man nicht auf jedem Knoten des CLusters die Benutzer bearbeiten muss. Welchen Sinn macht aber das gleiche Feature auf dem PBS? Da gibt es ja keinen Cluster.
[SOLVED] Proxmox Backup Server realm ->Sinn?
- Thread starter floh8
- Start date
Ich habe da verschiedene PBS-Realm Benutzer mit verschiedenen Privilegien. Einen z.B. rein für Monitoring, einen rein für Restores, einen nur für Backups etc. Da möchte ich nicht gleich für jeden Benutzer einen Linux-User anlegen der sich dann z.B. auch über SSH einloggen könnte.
Ich wollte deine Aussage grad mal überprüfen, aber siehe da, es geht nicht. Man kann ja gar kein weiteren Nutzer in dem realm "pam" anlegen. Vermutlich aus den erwähnten Sicherheitsbedenken. Ich hab das mal mit PVE verglichen. Da verhält es sich ganz anders. dort kann ich Benutzer im realm "pam" anlegen. Aber auch wenn ich die "Administrator"-Rolle gebe, kann dieser Benutzer sich auch nicht via ssh einloggen. Wie auch, denn weder wird der Benutzer in /etc/passwd angelegt noch läßt sshd Anmeldungen zu ("#PasswordAuthentication").
Wenn ich den Benutzer suche, finde ich ihn in /etc/pve/user.cfg, samt allen Rechten und angelegten Gruppen.
Da stellt sich mir zunächst die Frage. Wenn pam-Benutzer im Clusterverzeichnis gespeichert werden und nicht lokal, warum gibt es denn dann extra den "Proxmox VE Authentication Server"?
Nun wollte ich dem Benutzer über die GUI ein Passwort vergeben, da meckert mich PVE an, das der Benutzer nicht existiert.
Dachte ich naja, vielleicht ein kleiner BUG in der GUI. Nimmst'e mal die Console und siehe da die gleiche Fehlermeldung.
Was läuft hier falsch?
Meine PVE-Version ist die aktuellste, habe gestern geupdated über "no-subscription" (Version 7.4-3).
Wenn ich den Benutzer suche, finde ich ihn in /etc/pve/user.cfg, samt allen Rechten und angelegten Gruppen.
Da stellt sich mir zunächst die Frage. Wenn pam-Benutzer im Clusterverzeichnis gespeichert werden und nicht lokal, warum gibt es denn dann extra den "Proxmox VE Authentication Server"?
Nun wollte ich dem Benutzer über die GUI ein Passwort vergeben, da meckert mich PVE an, das der Benutzer nicht existiert.
Dachte ich naja, vielleicht ein kleiner BUG in der GUI. Nimmst'e mal die Console und siehe da die gleiche Fehlermeldung.Was läuft hier falsch?
Meine PVE-Version ist die aktuellste, habe gestern geupdated über "no-subscription" (Version 7.4-3).
PAM-Benutzer erstellt man bei PVE aber auch nicht über das webUI. Den muss man schon über z.B.
Will man all das nicht nimmt man halt den PVE/PBS Realm, wo man dann User hat die nur für Proxmox Produkte aber nicht für das ganze darunterliegende Linux gelten.
adduser in der Konsole anlegen und über das webUI teilt man dann PVE nur mit, dass der PAM-Benutzer existiert und für API/webUI benutzbar sein soll. Also für jeden PAM-Benutzer sollte man auch vorher manuell einen entsprechenden Linux-Benutzer erstellt haben mit Passwort, ggf. Home-Verzeichnis und Co.Will man all das nicht nimmt man halt den PVE/PBS Realm, wo man dann User hat die nur für Proxmox Produkte aber nicht für das ganze darunterliegende Linux gelten.
Last edited:
ok, Damit wäre das für mich geklärt. Wenn man die doku richtig versteht, dann erklärt das die Unterschiede. Danke.
Ich habe das eben mal nachvollzogen. Wenn man den Benutzer über "useradd" anlegt, dann darf der sich auch via ssh einloggen. Man müßte vorher useradd mit "-s /usr/sbin/nologin" nutzen, um das zu verhindern. Da macht natürlich, von vorne herein "Proxmox VE Authentication Server" zu nutzen, mehr Sinn. Allerdings habe ich festgesellt, dass diese dann nicht auf die Console kommen, was bei der Administration vom PVE manchmal schon wichtig wäre.
Stellt sich für mich die Frage, wie man das Benutzermanagement in strukturierten Umgebungen am Besten umsetzt. Man bräuchte einen LDAP Server, der sich aus dem Managment-Netz zum inneren LDAP verbindet und sich synchronsiert, falls LDAP Benutzer auf die Console kommen. Weiß gar nicht, wie das ein RODC so macht. Bekommt er die Daten gepusht oder pollt er? Bei UCS wäre das natürlich auch interessant zu wissen. Einen extra LDAP für das Managment-Netz finde ich da zu aufwendig, aber auch nicht unsinnig.
Ergänzung: Hab mir grad die Infos zu LDAP durchgelesen. Die LDAP-Nutzer werden auch in der user.cfg angelegt, damit ist wohl schon klar, dass LDAP-Benutzer auch keinen Konsolenzugriff haben. Sehe ich das richtig?
Ich habe das eben mal nachvollzogen. Wenn man den Benutzer über "useradd" anlegt, dann darf der sich auch via ssh einloggen. Man müßte vorher useradd mit "-s /usr/sbin/nologin" nutzen, um das zu verhindern. Da macht natürlich, von vorne herein "Proxmox VE Authentication Server" zu nutzen, mehr Sinn. Allerdings habe ich festgesellt, dass diese dann nicht auf die Console kommen, was bei der Administration vom PVE manchmal schon wichtig wäre.
Stellt sich für mich die Frage, wie man das Benutzermanagement in strukturierten Umgebungen am Besten umsetzt. Man bräuchte einen LDAP Server, der sich aus dem Managment-Netz zum inneren LDAP verbindet und sich synchronsiert, falls LDAP Benutzer auf die Console kommen. Weiß gar nicht, wie das ein RODC so macht. Bekommt er die Daten gepusht oder pollt er? Bei UCS wäre das natürlich auch interessant zu wissen. Einen extra LDAP für das Managment-Netz finde ich da zu aufwendig, aber auch nicht unsinnig.
Ergänzung: Hab mir grad die Infos zu LDAP durchgelesen. Die LDAP-Nutzer werden auch in der user.cfg angelegt, damit ist wohl schon klar, dass LDAP-Benutzer auch keinen Konsolenzugriff haben. Sehe ich das richtig?
Last edited:
