Dans ce tutoriel, nous allons avoir comment déléguer des actions à un utilisateur sur une machine virtuelle à l’aide des rôles.
Proxmox est un hyperviseur complet qui permet de gérer assez finement des autorisations sur des machines virtuelles.
On va partir du principe que vous avez besoin d’autoriser une personne du service support à pouvoir gérer l’alimentation (arrêt / démarrage) et l’accès à la console d’un ordinateur virtuel.
Créer l’utilisateur dans Proxmox
La première étape va être de créer un compte.
Depuis la navigation dans la console, aller sur Datacenter / Permissions / Users. On arrive sur la liste des utilisateurs. Cliquer sur le bouton Add 1.
Commencer par rentrer l’identifiant 1 de l’utilisateur, choisir le Realm Proxmox VE authentification Server 2 puis saisir le mot de passe de l’utilisateur 3 et cliquer sur Add 4.
Ici on va choisir l’authentification Proxmox VE authentification Server et non PAM. Pour utiliser le Realm PAM, l’utilisateur doit être créé au niveau du système, ce qui n’est pas nécessaire car on souhaite seulement un accès à l’interface Web de Proxmox.
L’utilisateur est créé.
Les rôles par défaut de Proxmox
Les rôles dans Proxmox regroupe des autorisations (Privileges) que l’on peut ensuite appliqué à des Utilisateurs ou Groupes.
Les privilèges peuvent être au niveau :
- Node / System
- VM
- Stockage
- ….
Par défaut Proxmox a propose plusieurs Roles qui sont disponible à l’emplacement suivant: Datacenter / Permissions / Roles.
Pour commencer dans ce tutoriel, on va utiliser le rôle PVEVMUser qui est un rôle prévu qui pourrait correspondre au besoin du service support.
Appliquer un rôle à un utilisateur sur une machine virtuelle
Pour commencer je vais me connecter avec l’utilisateur romain depuis un autre navigateur.
Comme on peut le voir, je n’ai accès à rien.
On va configurer la permission sur la VM 104, commencer par sélectionner la VM 1 puis aller sur Permissions 2.
Pour le moment c’est vide. Cliquer sur le bouton Add 1 puis sur User Permission 2.
Sélectionner l’utilisateur 1 et le role 2 puis cliquer sur Add 3.
La permission est ajoutée.
En retournant sur la navigateur ou j’ai ouvert la session avec romain je vois la VM 104, il n’y a pas besoin de se reconnecter pour la mise à jour des autorisations.
Comme vous pouvez le voir ci-dessous, j’ai bien accès à la console et aux paramètres d’alimentation.
On peut accéder à d’autre paramètre qui sont seulement en lecture.
Créer un rôle dans Proxmox
Si vous trouvez le rôle PVEVMUser trop permissif et que vous ne souhaitez pas donner l’accès à la configuration CDROM et Cloudinit, on va voir comment créer un rôle avec seulement l’accès à la console et à l’alimentation.
Depuis la page des Roles dans la partie Cluster, cliquer sur Create 1.
Commencer par nommer le Role 1 puis cliquer sur la flèche pour afficher les Privileges 2.
Sélectionner les composants suivant : VM.PowerMgmt, VM.console, VM.Audit 1 puis cliquer sur Create 2.
Si VM.audit n’est pas sélectionné, la machine virtuelle ne sera pas visible dans l’interface Web.
Le Role est créé.
Appliquer le Role crée
Je ne vais reprendre dans le détail
J’ai appliqué la permission à romain sur la CT 100 avec le Role créé.
De retour sur le navigateur avec l’utilisateur romain, j’ai maintenant accès au CT 100 avec les droits configurés dans le Role.
Vous savez maintenant comment gérer des autorisations dans Proxmox pour déléguer des actions à des utilisateurs.