В данном разделе приведён пример настройки аутентификации LDAP для аутентификации на сервере FreeIPA. В примере используются следующие исходные данные:
ipa.example.test, 192.168.0.113 — сервер FreeIPA;
admin@example.test — учётная запись с правами чтения LDAP;
pve — группа, пользователи которой имеют право аутентифицироваться в PVE.
Для настройки LDAP аутентификации необходимо выполнить следующие шаги:
Создать область аутентификации LDAP. Для этого в разделе Центр обработки данных → Разрешения → Сферы нажать кнопку Добавить → Сервер LDAP:
На вкладке Общее указать следующие данные:
Сфера — идентификатор области;
Имя основного домена (base_dn) — каталог, в котором выполняется поиск пользователей (dc=example,dc=test);
Имя пользовательского атрибута (user_attr) — атрибут LDAP, содержащий имя пользователя, с которым пользователи будут входить в систему (uid);
По умолчанию — установить область в качестве области по умолчанию для входа в систему;
Сервер — IP-адрес или имя FreeIPA-сервера (ipa.example.test или 192.168.0.113);
Резервный сервер (опционально) — адрес резервного сервера на случай, если основной сервер недоступен;
Порт — порт, который прослушивает сервер LDAP (обычно 389 без ssl, 636 с ssl);
Фильтр групп — фильтр групп ((|(cn=*pve*)(dc=ipa)(dc=example)(dc=test)));
Нажать кнопку Добавить.
Выбрать добавленную область и нажать кнопку Синхронизировать:
Указать, если необходимо, параметры синхронизации и нажать кнопку Синхронизировать:
В результате синхронизации пользователи и группы PVE будут синхронизированы с сервером FreeIPA LDAP. Сведения о пользователях и группах можно проверить на вкладках Пользователи и Группы.
Настроить разрешения для группы/пользователя на вкладке Разрешения.
Примечание
Команда синхронизации пользователей и групп:
# pveum realm sync example.test
Для автоматической синхронизации пользователей и групп можно добавить команду синхронизации в планировщик задач.
