Proxmox Active错误

Question

概述

我正在尝试让Proxmox使用WindowsServer2016Adds服务器通过LDAP执行用户身份验证。Proxmox确信我的凭据是错误的。

环境

• Proxmox 6.3-1，PVE 6.3-6
• Windows 2019数据中心1809，b 17763.1823
• Proxmox服务器和位于同一个网络上( DC是Proxmox实例的来宾)。
• DC的根证书已经添加到Proxmox服务器的存储区。
• Proxmox的领域绑定是使用OU OU=Service Users,DC=subdomain,DC=domain,DC=tld中的一个专用标准用户帐户设置的。
• 我在标准CN=Users,DC=subdomain,DC=domain,DC=tld中有一个管理帐户。
• Proxmox的领域绑定如下:通过GUI：--域: DC=subdomain，DC=domain，DC=tld默认: True Server: dc.subdomain.domain.tld回退服务器:未使用的端口:默认SSL:真正的验证证书:真要求的TFA:无同步选项--绑定用户: CN=ServiceAccount、OU=Service用户、DC=subdomain、DC=domain、DC=tld Domain属性: sAMAccountName .：sAMAccountName用户类: User Group类: Group用户过滤器:CN=ServiceAccount CN=Users、DC=subdomain、DC=domain、DC=tld)

发生了什么

• Proxmox的登录页面提供错误消息“登录失败。请再试一次”。
• Proxmox的syslog显示行条目hostname pvedaemon[pid]: authentication failure; rhost=10.9.0.50 user=username@realm msg=80090308: LdapErr: DSID-0C090439, comment: AcceptSecurityContext error, data 52e, v4563。
  • 错误代码52e表示密码不正确。

• 当登录失败时，我不会在DC的安全事件日志中看到ServiceAccount或用户名的任何条目。

我试过什么

• 我已经验证了Proxmox可以与DC通信；当同步域时，它成功地将组和用户从域中拉出。
• 我已经验证了绑定用户ServiceAccount可以登录到域连接的计算机。
• 我已经验证了我正在测试的帐户(我的管理帐户)可以登录到已加入域的计算机；它是我登录到DC的帐户。
  • 我还创建了一个没有附加设置的测试帐户，只有适当的组成员身份，并试图使用它登录Proxmox。

• 我尝试将我的用户帐户和绑定帐户的密码简化到P4$$w0rd。
• LDAP适用于具有类似绑定帐户的其他系统。

如有任何指导或建议，将不胜感激。

Answer 1

我不能确定你和我有同样的问题，但我解决了同样的症状：

• 确保LDAP设置中的“域”是实际的AD域名(例如。ad.example.com)。Proxmox会将其附加到用户名中，以便登录，因此如果您弄错了，LDAP服务器将拒绝您。
• 确保登录用户或组具有分配给他们的角色。您可以通过访问Datacentre->权限( "title"，而不是下拉列表中的内容)来实现这一点！并添加一个组权限(在我的例子中，我使用了我创建的名为ProxmoxAdmins的LDAP组，并为它分配了Administrator角色)

我注意到，日志消息根本没有告诉您问题的原因。我还注意到LDAP组中不能有空格(例如。Proxmox Admins不起作用，ProxmoxAdmins起作用)。如果在LDAP设置中执行“同步预览”，则可以看到这一点)。最后，仅仅因为“同步”工作，并不意味着用户会-它只测试绑定凭据(一个有用的检查，但不是所有！)