Всем привет!!!
Подключение единого входа Proxmox VE к Synology SSO server позволяет организовать безопасный и быстрый доступ к веб управлению Proxmox.
Результатом станет централизованная проверка подлинности и упрощение доступом к Proxmox серверу.
Для реализации данной идеи вам сначала нужно настроить Synology SSO server по статье: Synology SSO единый вход для всех служб и приложений
Для чего это нужно? Я устал вводить логин пароль сначала в Synology, а затем в Proxmox, ну или в другом порядке. Решил сделать единый вход, что бы вводить данные авторизации только один раз. Плюсом этого решения, что за безопасную авторизацию отвечает Synology, в котором настроена защите от подбора паролей, фаервол и двухфакторная аутентификация. В Proxmox настроено только подключение к Synology SSO ну и еще один нюанс.
Нюансом является, то что созданный автоматически через SSO пользователь на proxmox не имеет никаких прав. Поэтому нужно либо предварительно создать пользователя Proxmox с точно таким же логином как и на Synology и нужными правами, либо сделать права пользователю после первого входа в систему Proxmox.
Я пойду вторым путем. Для начала настроим Synology SSO server. Напомню, что основная настройка должна быть выполнена по статье из ссылки выше.
На сервере Synology SSO включаем протокол OIDC (OpenID Connect), почитать про него можно на хабре например тут.
Затем на вкладке приложение создаем приложение OIDC
На следующем этапе придумайте имя приложения и укажите URL сервера Proxmox. Таких URL можно указать до 10 штук: 1 – домен и порт, 2 – через обратный прокси, 2 – прямой IP адрес и порт. Это все пример, указывайте тот URL по которому вы реально заходите на ваш Proxmox.
Если у вас кластер Proxmox, то нужно указать все возможные домены и IP адреса вашего кластера.
URI перенаправления должен соответствовать следующим правилам.
- Используйте тот же протокол (например, HTTP или HTTPS), что и SSO Server.
- Используйте имя домена, к которому можно получить доступ по протоколу HTTPS и который имеет действительный сертификат TLS. URI перенаправления не может быть IP-адресом или адресом QuickConnect.
После создание приложения нажмите на редактировать, что бы увидеть идентификатор и сервер, которые пригодятся далее.
По умолчанию в DSM включена опция безопасности запрещающая вставку iFrame. Что бы добавить ваше приложение в исключения перейдите в безопасность, общие и в исключения безопасности добавьте URL вашего приложения Proxmox столько сколько нужно.
Теперь настало время настроить сам Proxmox. Выделите центр обработки данных, затем Сфера и нажмите добавить OIDC (OpenID Connect)
В открывшемся окне введите следующие значения:
- URL-адрес издателя – это значение нужно взять в Synology SSO server на вкладке Служба OIDC:
- Установите порт DSM или службы SSO. К сожалению Proxmox псевдонимы не понимает, только порты.
- удалите /.well-known/openid-configuration что бы было как на картинке ниже. Напомню символ / должен отсутствовать в конце.
- Рекомендуется использовать не как у меня на картинке, а порт приложения Synology SSO, его нужно задать в настройках самого SSO сервера. По умолчанию он 8843.
- Сфера – это любое ваше название
- Нужно взять с Synology SSO сервера на вкладке приложения для вашего приложения. Картинка выше через одну.
- Нужно взять с Synology SSO сервера на вкладке приложения для вашего приложения. Картинка выше через одну.
- Установите, что по умолчанию в Proxmox использовать эту сферу
- Рекомендую, что бы автоматически создавался пользователь в Proxmox
Теперь заходим на Proxmox или разлогинимся и нужно выбрать сферу SynoSSO и нажать вход. Если вы уже вошли в Synology DSM до этого, который подключен к той же службе SSO, то автоматом попадет в окно конфигурации Proxmox под пользователем DSM.
Если не входили в DSM или любом другом приложении, то вас перенаправит на окно авторизации Synology SSO server. Тут нужно ввести логин и пароль от действующей учетной записи.
Вы попадете в интерфейс Proxmox под вашим пользователем DSM, но интерфейс будет пустым, так как у данного пользователя еще нет прав на управление чем либо. Про это ограничение я говорил в самом начале. Это легко правится.
Идем в группы и создаем новую. Я дал ей имя SAdmin
После создания группы прикрепляем ее к вашему пользователю SSO как показано на картинке ниже
Затем идем в разрешения и создаем разрешение для группы или для пользователя кому как хочется.
Путь указываем корневой / далее выбираем группу и роль администратора
После этих изменений пользователь SSO сразу станет администратором и сможет полностью управлять сервером или даже кластером серверов Proxmox VE
–
Теперь вы знаете как подключить единый вход Proxmox VE в Synology SSO server