PVE AD/LDAP 驗證同步

實作環節

進入 AD UI

進到 AD/LDAP 設定頁面

設定 AD/LDAP 掛載憑證是根據 AD/LDAP 名稱所生成的 FQDN，接者下載憑證

建立計畫部門群組

在 Permissions 下新增計畫群組

接者把計畫成員加入進來

CN=(計畫名稱),OU=Permissions,DC=w100,DC=citc

建立使用者

在 Members 下新增使用者

CN=(計畫名稱),OU=Permissions,DC=w100,DC=citc

進到 PVE Cluster

選擇權限 > 領域 > 增加 > LDAP 伺服器

填上 AD/LDAP 資訊

基礎網域名稱: DC=w100,DC=citc
使用者屬性名稱: sAMAccountName
伺服器: Server IP 140.96.111.70
模式 LDAPS

繫結帳號 nasw1\tim
繫結密碼 123456
使用者類別: person,user
群組類別: group
Email 屬性: mail
使用者篩選器: (&(memberOf=CN=專案群組名稱,OU=Permissions,DC=w100,DC=citc))
群組篩選器: (&(distinguishedName=CN=專案群組名稱,OU=Permissions,DC=w100,DC=citc))
範圍: 使用者與群組
移除項目都打勾

實踐群組與帳戶同步

完成 AD/LDAP 設定之後，點選剛設定好的 AD/LDAP 點選同步
先用預覽來看是否正確設定與同步
確認後開始正式同步

最後在 PVE 的群組與帳戶能夠看新同步的群組與帳戶，帳戶與群組身分也應該正確綁定。

授予群組 PVE 操作權限

先前在一個計劃底下會有兩個以上的群組(計畫名稱_admin,計畫名稱_dev,計畫名稱_devops 等)

在 PVE 群組中也會有對應的群組接者需要授予群縣

進入 PVE 權限 > 新增群組權限
選擇群組 > 路徑(可作用範圍) > 角色(可操作權限)

admin > 根路徑 > PVEAdmin
devops > /vms/(vm_id) > PVEVMAdmin
dev > /vms/(vm_id) > PVEVMUser

就大功告成了

參考文章

Proxmox 虚机平台与AD域集成
同步AD的用户和组到PVE

PVE