Wie du Proxmox mit Google Secure LDAP absicherst

Image of Felix Klauke
Felix Klauke

Du möchtest dich einfach und unkompliziert mit deinem Google Account in Proxmox anmelden?

 

Proxmox

Proxmox ist eine sehr bekannte und verbreitete Open Source Virtualisierungslösung. Die Verwaltung erfolgt über ein praktischen Webinterface. Die Anmeldung erfolgt dabei über lokale Linux Benutzer durch pam, über von Proxmox verwaltete Nutzer, oder über LDAP. Im folgenden zeige ich dir, wie du das Google Secure LDAP deiner G Suite für die Anmeldung LDAP einsetzen kannst.

 

Google Secure LDAP

Jede G Suite hat ihr eigenes Benutzerverzeichnis. In vielen Apps kann man sich heutzutage einfach über OAuth2 anmelden. In den Fällen wo es das nicht gibt kommt häufig LDAP zum Einsatz. Um hier nicht zwei Benutzerverzeichnisse pflegen zu müssen ermöglicht Google Zugriff auf das Benutzerverzeichnis über eine LDAP Schnittstelle namens Google Secure LDAP. 

 

LDAP Client erstellen

Für den Zugriff auf das LDAP müssen wir einen LDAP Client über die G Suite Adminoberfläche erstellen. Unter Apps > LDAP finden wir die Schaltfläche zum hinzufügen eines Clients. Wir definieren also den Namen des neuen Clients:

Bildschirmfoto 2020-06-01 um 12.53.38

Der LDAP Client soll natürlich nicht tun und lassen können, was er will. Wir können ihn also im nächsten Schritt auf Organisationseinheiten beschränken, um zum Beispiel nur die Organisationseinheit admin für den Client sichtbar zu machen.

Bildschirmfoto 2020-06-01 um 12.55.59

Direkt im Anschluss können wir das Paket mit den benötigten Zertifikaten herunterladen, mir denen wir später unseren Client konfigurieren.

Bildschirmfoto 2020-06-01 um 12.59.17

Auf der folgenden Übersicht wird daraufhin ersichtlich, dass wir den Dienst zuerst noch manuell aktivieren müssen.

Bildschirmfoto 2020-06-01 um 13.03.08

Gesagt, getan! Nach einem Klick auf die Leiste "Dienststatus" können wir den Client aktivieren. 

Hinweis: Im unteren Bereich könnte ihr euch noch explizite Anmeldedaten erstellen, um nicht eure Admin Credentials verwenden zu müssen.

 

Proxmox LDAP Konfiguration

Proxmox verwaltet die Konfiguration für alle Authentifizierungsmethoden in der Datei /etc/pve/domains.cfg - Hier werden wir ansetzen. Wenn die Datei noch nicht existiert müssen wir sie zuerst erstellen. Dazu reicht folgender Inhalt:

pam: pam
        comment Linux PAM standard authentication

pve: pve
        comment Proxmox VE authentication server

 

LDAP Domain

Das sind erst einmal nur die bereits eingebauten Mechanismen: Die Anmeldung über Linux PAM und über das Benutzerverzeichnis von Proxmox. Für LDAP fügen wir eine weitere Domain hinzu.

Im Beispielfall verwende ich dazu die G Suite der Domain felix-klauke.de mit dem erstellten und zwischenzeitlich hochgeladenen Zertifikat:

ldap: felix-klauke.de
	comment Klauke Enterprises LDAP
	base_dn dc=felix-klauke,dc=de
	server1 ldap.google.com
	user_attr uid
	bind_dn uid=felix,ou=Users,dc=felix-klauke,dc=de
	cert /etc/pve/priv/Google_2023_06_01_39500.crt
	certkey /etc/pve/priv/Google_2023_06_01_39500.key
	default 0
	port 636
	secure 1
	verify 1 

Hinweis: Achtet darauf, dass die Zeilen per Tabulator eingerückt werden!

Das Passwort für den Admin Zugang legen wir getrennt in der Datei /etc/pve/priv/ldap/felix-klauke.de.pw ab.

 

Proxmox User Mapping

Damit ist die Authentifizierung im Prinzip so weit abgehakt, ganz am Ziel sind wir jedoch noch nicht. Für die Authorization benötigt Proxmox jedoch noch einen Account (Eine automatische Erstellung wird leider noch nicht unterstützt). Zuerst solltet ihr eine entsprechende Proxmox Gruppe erstellen

Daraufhin erstellen wir einen neuen Nutzer in unserem LDAP Realm:

Bildschirmfoto 2020-06-02 um 09.13.39

Das war es auch schon! Ab jetzt können wir uns in der Login Maske mit Nutzername und Passwort unseres Google Accounts anmelden:

Bildschirmfoto 2020-06-02 um 09.14.57

 

Fazit & Schlusswort

Die Einrichtung ist sehr einfach gehalten und benötigt leider das manuelle Konfigurieren des Authorizations-Layer. Trotzdem spart man sich mit Google Secure LDAP einen weiteren Service ein und gestaltet die Anmeldung in Proxmox sehr convenient. 

Ihr habt Probleme mit Proxmox oder Virtualisierung im Allgemeinen? Das muss nicht so bleiben! Nimm gerne Kontakt auf und wir schaffen das aus der Welt.

Kontakt aufnehmen

 

Kommentieren

Blog

Verwandte Artikel