Hi,
ich bin gerade dabei, das ganze Thema MFA zu analysieren, speziell die Unterstützung in den Tools/Applikationen, die wir benutzen. Darunter eben auch Proxmox mit getrennten Admin-Konten.
Für diese würde ich nun gerne das Feature "passwordless" Login unserer YubiKeys verwenden, die wir als 2. Faktor einsetzen. Mit diesen besteht ja die Möglichkeit, sich ausschließlich mittels PIN + Touch anzumelden, wodurch dem Benutzeraccount im AD gar kein Passwort vergeben werden muss. Das wäre eben für die ganzen Admin-Accounts sehr nützlich. Über Windows (als Smartcard) und Azure AD funktioniert das bereits einwandfrei.
Nun überlege ich mir, wie ich das am Besten in PVE einrichten kann. Derzeit erfolgt der Login eben mit Benutzername + Passwort über LDAP, das auch die Gruppen-Zuordnungen und somit die Autorisierung regelt. Jedoch unterstützt dieses leider nicht den Login mittels Smartcard - die Maske verlangt weiterhin einen Benutzernamen/Passwort.
Mein aktueller Ansatz wäre daher, auf einer weiteren VM ein AD FS aufzusetzen, OpenID einzurichten (geht seit Version 2016) und die Authentifizierung mittels OpenID Connect durchzuführen - AD FS unterstützt schon seit langem Smartcard Authentifizierung. Bei dieser Lösung ist dann nur die Frage, wie wir mit der Autorisierung umgehen. Derzeit gibt es nur die Option, Benutzer automatisch anzulegen, die Zuweisung zu den Gruppen muss aber weiter manuell erfolgen. Bei uns kein großes Problem, da der Admin Turnover sehr gering ist, einfacher wäre eine automatische Zuordnung aber trotzdem.
Siehe auch: https://forum.proxmox.com/threads/a...apping-when-using-openid-connect-oidc.100790/
Meine Fragen wären daher:
Danke!
ich bin gerade dabei, das ganze Thema MFA zu analysieren, speziell die Unterstützung in den Tools/Applikationen, die wir benutzen. Darunter eben auch Proxmox mit getrennten Admin-Konten.
Für diese würde ich nun gerne das Feature "passwordless" Login unserer YubiKeys verwenden, die wir als 2. Faktor einsetzen. Mit diesen besteht ja die Möglichkeit, sich ausschließlich mittels PIN + Touch anzumelden, wodurch dem Benutzeraccount im AD gar kein Passwort vergeben werden muss. Das wäre eben für die ganzen Admin-Accounts sehr nützlich. Über Windows (als Smartcard) und Azure AD funktioniert das bereits einwandfrei.
Nun überlege ich mir, wie ich das am Besten in PVE einrichten kann. Derzeit erfolgt der Login eben mit Benutzername + Passwort über LDAP, das auch die Gruppen-Zuordnungen und somit die Autorisierung regelt. Jedoch unterstützt dieses leider nicht den Login mittels Smartcard - die Maske verlangt weiterhin einen Benutzernamen/Passwort.
Mein aktueller Ansatz wäre daher, auf einer weiteren VM ein AD FS aufzusetzen, OpenID einzurichten (geht seit Version 2016) und die Authentifizierung mittels OpenID Connect durchzuführen - AD FS unterstützt schon seit langem Smartcard Authentifizierung. Bei dieser Lösung ist dann nur die Frage, wie wir mit der Autorisierung umgehen. Derzeit gibt es nur die Option, Benutzer automatisch anzulegen, die Zuweisung zu den Gruppen muss aber weiter manuell erfolgen. Bei uns kein großes Problem, da der Admin Turnover sehr gering ist, einfacher wäre eine automatische Zuordnung aber trotzdem.
Siehe auch: https://forum.proxmox.com/threads/a...apping-when-using-openid-connect-oidc.100790/
Meine Fragen wären daher:
- Wäre es möglich, LDAP weiter beizubehalten (für die Benutzer-Synchronisation), aber den Login zu verbieten?
- Ist mein Ansatz so i. O. oder doch kompletter Unsinn? Azure AD will ich nicht benutzen, damit wir eine Trennung zwischen On-Premise und Cloud Admins haben.
Danke!