这是本文档旧的修订版！

第十一章：用户管理

原文链接：https://pve.proxmox.com/pve-docs/chapter-pveum.html 最后更新：2026-02-25

概述

Proxmox VE提供完整的用户和权限管理系统，支持多种认证方式和基于角色的访问控制（RBAC）。

用户管理

用户概念

* 用户ID - 用户名@域 * 认证域 - 用户来源 * 用户属性 - 详细信息

创建用户

通过Web界面： 1. 数据中心 → 权限 → 用户 2. 点击“添加” 3. 输入信息 4. 保存

命令行

pveum user add admin@pve --password
pveum user add john@ldap --realm ldap

认证域

支持的认证域

* Linux PAM - 系统用户 * Proxmox VE - 内置认证 * LDAP - 目录服务 * Active Directory - Windows域 * OpenID Connect - OAuth2/OIDC

配置LDAP

pveum realm add ldap --base-dn "dc=example,dc=com" --server ldap.example.com

配置AD

pveum realm add ad --domain example.com --server dc.example.com

配置OpenID

pveum realm add oidc --issuer-url https://accounts.google.com --client-id XXXX

用户组

创建组

pveum group add developers
pveum group add admins

添加用户到组

pveum user modify john@pve --group developers

组权限

组权限可以批量分配，简化管理。

角色

预定义角色

* Administrator - 完全权限 * PVEAuditor - 只读 * PVEVMAdmin - VM管理 * PVEVMUser - VM用户 * PVEDatastoreAdmin - 存储管理

自定义角色

创建自定义角色：

pveum role add MyRole --privs "VM.Audit VM.PowerMgmt"

权限管理

权限分配

分配权限：

pveum acl modify /vms -user john@pve -role PVEVMAdmin
pveum acl modify /vms -group developers -role PVEVMUser

权限路径

* / - 数据中心 * /vms - 所有虚拟机 * /vms/100 - 特定虚拟机 * /storage - 存储 * /nodes - 节点 * /access - 访问管理

权限继承

* 路径继承 * 组继承 * 覆盖规则

API令牌

创建令牌

pveum user token add john@pve mytoken

使用令牌

curl -H "Authorization: PVEAPIToken=john@pve!mytoken=UUID" https://pve:8006/api2/json/...

令牌权限

* 分离权限 - 独立权限 * 完全权限 - 继承用户权限

双因素认证

TOTP

时间一次性密码：

# 通过Web界面配置

U2F

通用第二因素：

# 通过Web界面配置

恢复密钥

一次性恢复密钥：

# 通过Web界面生成

资源池

创建资源池

pveum pool add mypool
</code

=== 添加资源 ===

<code>
pveum pool add mypool --vms 100,101
pveum pool add mypool --storage local
</code

=== 池权限 ===

<code>
pveum acl modify /pool/mypool -group developers -role PVEVMAdmin
</code

===== 命令行工具 =====

=== pveum命令 ===

查看帮助：
<code>
pveum help
pveum help user add
</code

=== 用户操作 ===

<code>
# 列表用户
pveum user list

# 修改用户
pveum user modify john@pve --enable 0

# 删除用户
pveum user delete john@pve
</code

=== 组操作 ===

<code>
# 列表组
pveum group list

# 添加组
pveum group add newgroup

权限操作

# 列表权限
pveum acl list

# 修改权限
pveum acl modify /vms -user john@pve -role PVEVMUser

最佳实践

1. 使用组管理权限 2. 最小权限原则 3. 启用双因素认证 4. 定期审计权限

示例场景

部门隔离

创建部门组：

pveum group dev
pveum group sales

pveum acl modify /pool/dev-pool -group dev -role PVEVMAdmin
pveum acl modify /pool/sales-pool -group sales -role PVEVMAdmin
</code

=== API访问 ===

创建API令牌：
<code>
pveum user token add monitoring@pve prometheus --privsep 1
pveum acl modify /vms -token 'monitoring@pve!prometheus' -role PVEAuditor
</code

=== 审计用户 ===

审计权限：
<code>
pveum user permissions john@pve