# PVE AD/LDAP 驗證同步
# 實作環節
進入 AD UI
# 進到 AD/LDAP 設定頁面
設定 AD/LDAP 掛載憑證是根據 AD/LDAP 名稱所生成的 FQDN,接者下載憑證
# 建立計畫部門群組
在 Permissions 下 新增 計畫群組
接者把計畫成員加入進來
CN=(計畫名稱),OU=Permissions,DC=w100,DC=citc
# 建立使用者
在 Members 下 新增 使用者
CN=(計畫名稱),OU=Permissions,DC=w100,DC=citc
# 進到 PVE Cluster
選擇權限 > 領域 > 增加 > LDAP 伺服器
填上 AD/LDAP 資訊
基礎網域名稱: DC=w100,DC=citc
使用者屬性名稱: sAMAccountName
伺服器: Server IP 140.96.111.70
模式 LDAPS
繫結帳號 nasw1\tim
繫結密碼 123456
使用者類別: person,user
群組類別: group
Email 屬性: mail
使用者篩選器: (&(memberOf=CN = 專案群組名稱,OU=Permissions,DC=w100,DC=citc))
群組篩選器: (&(distinguishedName=CN = 專案群組名稱,OU=Permissions,DC=w100,DC=citc))
範圍:使用者與群組
移除項目都打勾
# 實踐群組與帳戶同步
完成 AD/LDAP 設定之後,點選剛設定好的 AD/LDAP 點選同步
先用預覽來看是否正確設定與同步
確認後開始正式同步
最後在 PVE 的群組與帳戶 能夠看新同步的群組與帳戶,帳戶與群組身分也應該正確綁定。
# 授予群組 PVE 操作權限
先前在一個計劃底下會有兩個以上的群組 (計畫名稱_admin, 計畫名稱_dev, 計畫名稱_devops 等)
在 PVE 群組中也會有對應的群組 接者需要授予群縣
進入 PVE 權限 > 新增群組權限
選擇群組 > 路徑 (可作用範圍) > 角色 (可操作權限)
admin > 根路徑 > PVEAdmin
devops > /vms/(vm_id) > PVEVMAdmin
dev > /vms/(vm_id) > PVEVMUser
就大功告成了
# 參考文章
- Proxmox 虚机平台与 AD 域集成
- 同步 AD 的用户和组到 PVE