Gerenciando os grupos de usuários encontramos os seguintes parâmetros:
Privilégios
Privilégio são as especificação das permissões, onde podemos agrupa-los para filtrar o que cada usuário poderá fazer.
Os privilégios que o Proxmox fornece são classificados por sistema, máquina virtual e armazenamento:
Permissions.Modify: Modificar permissões de acesso
Sys.PowerMgmt: Gerenciamento de energia do nó (iniciar, parar, redefinir, desligar,…)
Sys.Console: Acesso do console do nó
Sys.Syslog: Visualize o Syslog
Sys.Audit: Exibir o status / configurações do nó, a configuração do cluster do Corosync e a configuração de HA
Sys.Modify: Criar / remover / modificar parâmetros de rede do nó
Group.Allocate: Criar / remover / modificar grupos
Pool.Allocate: Criar / remover / modificar um pool
Realm.Allocate: Criar / remover / modificar domínios de autenticação
Realm.AllocateUser: Atribui usuário a um reino
User.Modify: Cria / remove / modifica o acesso do usuário e detalhes.
VM.Allocate: Criar / remover nova VM para o inventário do servidor
VM.Migrate: Migrar a VM para alternar o servidor no cluster
VM.PowerMgmt: Gerenciamento de energia (iniciar, parar, redefinir, desligar,…)
VM.Console: Acesso do console à VM
VM.Monitor: Acesso ao monitor de VM (kvm)
VM.Backup: Backup / restauração de VMs
VM.Audit: Visualizar a configuração da VM
VM.Clone: Clone / copie uma VM
VM.Config.Disk: Adicionar / modificar / excluir discos
VM.Config.CDROM: Ejetar / alterar CDROM
VM.Config.CPU: Modificar configurações da CPU
VM.Config.Memory: Modificar configurações de memória
VM.Config.Network: Adicionar / modificar / excluir dispositivos de rede
VM.Config.HWType: Modifique o tipo de HW emulado
VM.Config.Options: Modifica qualquer outra configuração de VM
VM.Snapshot: Criar / remover instantâneos da VM
Datastore.Allocate: Criar / remover / modificar um repositório de dados, excluir volumes
Datastore.AllocateSpace: Alocar espaço em um armazenamento de dados
Datastore.AllocateTemplate: Alocar / carregar modelos e imagens iso
Datastore.Audit: Visualizar / procurar um datastore
Os privilégios já são pré-definidos pelo Proxmox, podemos assim apenas acrescentá-los aos papéis.
Papéis agrupam uma lista de privilégios, podendo assim vincular a lista completa de privilégios a um grupo de usuários.
O Proxmox já possui alguns papéis default que podem ser utilizados, eles são:
Administrator: Tem todos os privilégios
NoAccess: Não tem privilégios (usados para proibir acesso)
PVEAdmin: Pode fazer a maioria das coisas, mas perder os direitos para modificar as configurações do sistema (Sys.PowerMgmt, Sys.Modify, Realm.Allocate).
PVEAuditor: Acesso somente leitura
PVEDatastoreAdmin: Crie e aloque espaço e modelos de backup
PVEDatastoreUser: Aloca espaço de backup e visualiza o armazenamento
PVEPoolAdmin: Alocar pools
PVESysAdmin: ACLs do usuário, auditoria, console do sistema e logs do sistema
PVETemplateUser: Visualiza e clona modelos
PVEUserAdmin: Administração de usuário
PVEVMAdmin: Administrar totalmente as VMs
PVEVMUser: Visualização, backup, configuração do CDROM, console da VM, gerenciamento de energia da VM
Para criar um papel, basta seguir a seguinte sintaxe:
pveum roleadd nome_papel -privs "privilégios separados por espaço"
Grupos são utilizados para padronizar privilégios, podendo assim vincular mais de um usuário a apenas um grupo.
Para criar um grupo, basta acessar o servidor via ssh e utilizar o seguinte comando:
pveum group add nome_grupo -comment "comentário para documentação"
Podemos vincular um papel a um grupo através de um acesso via ssh ao servidor do proxmox, da seguinte forma o papel usado como exemplo foi o Administrator (padrão do proxmox):
pveum aclmod / -group nome_grupo -role Administrator
Dessa forma o grupo "grupoadm" terá os privilégios definidos no papél "Administrator"
O usuário será a credencial de quem irá acessar o virtualizador, pode ser ele do tipo PVE e PAM:
PVE: É um usuário gerenciado exclusivamente pelo Proxmox, onde terá apenas acesso ao virtualizador via web.
PAM: É um usuário criado por meio do comando "adduser" diretamente no Debian do servidor via ssh, sendo gerenciado pelo Debian e com restrições web através do Proxmox.
Para criar um usuário PAM basta criar o usuário no Debian e cria-lo no Proxmox com o argumento pam, já vinculando-o a um grupo de permissões, da seguinte forma:
adduser nome_usuário
pveum user add nome_usuário@pam --groups nome_grupo --password senha_usuário
Para criar um usuário PVE é mais simples, basta cria-lo no proxmox, já vinculando-o a um grupo de permissões da seguinte forma:
pveum user add nome_usuário@pve --groups nome_grupo --password senha_usuário
Voltar ao menu Proxmox