pve:pveum
第十一章:用户管理
原文链接:https://pve.proxmox.com/pve-docs/chapter-pveum.html 最后更新:2026-02-25
概述
Proxmox VE提供完整的用户和权限管理系统,支持多种认证方式和基于角色的访问控制(RBAC)。
用户管理
用户概念
* 用户ID - 用户名@域 * 认证域 - 用户来源 * 用户属性 - 详细信息
创建用户
通过Web界面: 1. 数据中心 → 权限 → 用户 2. 点击“添加” 3. 输入信息 4. 保存
命令行
pveum user add admin@pve --password pveum user add john@ldap --realm ldap
认证域
支持的认证域
* Linux PAM - 系统用户 * Proxmox VE - 内置认证 * LDAP - 目录服务 * Active Directory - Windows域 * OpenID Connect - OAuth2/OIDC
配置LDAP
pveum realm add ldap --base-dn "dc=example,dc=com" --server ldap.example.com
配置AD
pveum realm add ad --domain example.com --server dc.example.com
配置OpenID
pveum realm add oidc --issuer-url https://accounts.google.com --client-id XXXX
用户组
创建组
pveum group add developers pveum group add admins
添加用户到组
pveum user modify john@pve --group developers
组权限
组权限可以批量分配,简化管理。
角色
预定义角色
* Administrator - 完全权限 * PVEAuditor - 只读 * PVEVMAdmin - VM管理 * PVEVMUser - VM用户 * PVEDatastoreAdmin - 存储管理
自定义角色
创建自定义角色:
pveum role add MyRole --privs "VM.Audit VM.PowerMgmt"
权限管理
权限分配
分配权限:
pveum acl modify /vms -user john@pve -role PVEVMAdmin pveum acl modify /vms -group developers -role PVEVMUser
权限路径
* / - 数据中心 * /vms - 所有虚拟机 * /vms/100 - 特定虚拟机 * /storage - 存储 * /nodes - 节点 * /access - 访问管理
权限继承
* 路径继承 * 组继承 * 覆盖规则
API令牌
创建令牌
pveum user token add john@pve mytoken
使用令牌
curl -H "Authorization: PVEAPIToken=john@pve!mytoken=UUID" https://pve:8006/api2/json/...
令牌权限
* 分离权限 - 独立权限 * 完全权限 - 继承用户权限
双因素认证
TOTP
时间一次性密码:
# 通过Web界面配置
U2F
通用第二因素:
# 通过Web界面配置
恢复密钥
一次性恢复密钥:
# 通过Web界面生成
资源池
创建资源池
pveum pool add mypool
添加资源
pveum pool add mypool --vms 100,101 pveum pool add mypool --storage local
池权限
pveum acl modify /pool/mypool -group developers -role PVEVMAdmin
命令行工具
pveum命令
查看帮助:
pveum help pveum help user add
用户操作
# 列表用户 pveum user list # 修改用户 pveum user modify john@pve --enable 0 # 删除用户 pveum user delete john@pve
组操作
# 列表组 pveum group list # 添加组 pveum group add newgroup
权限操作
# 列表权限 pveum acl list # 修改权限 pveum acl modify /vms -user john@pve -role PVEVMUser
最佳实践
1. 使用组管理权限 2. 最小权限原则 3. 启用双因素认证 4. 定期审计权限
示例场景
部门隔离
创建部门组:
pveum group dev pveum group sales pveum acl modify /pool/dev-pool -group dev -role PVEVMAdmin pveum acl modify /pool/sales-pool -group sales -role PVEVMAdmin
API访问
创建API令牌:
pveum user token add monitoring@pve prometheus --privsep 1 pveum acl modify /vms -token 'monitoring@pve!prometheus' -role PVEAuditor
审计用户
审计权限:
pveum user permissions john@pve
pve/pveum.txt · 最后更改: 由 admin