# Proxmox Access Control: RBAC & Rollen-Design für das Team

TL;DR / Management Summary Ein einzelner “root”-Account für das gesamte Team ist das Ende jeder Security-Compliance. Proxmox VE nutzt ein mächtiges Role Based Access Control (RBAC) Modell. Wir definieren Rollen (Was darf getan werden?), verknüpfen sie mit Pfaden (Wo darf es getan werden?) und weisen sie Usern oder Gruppen zu. Ein Senior Admin delegiert Aufgaben: Der Helpdesk darf VMs starten, der Backup-Admin darf Storages verwalten, aber nur der IT-Leiter darf den Cluster-Status ändern.

# 1. Die drei Säulen des Proxmox-Rechte-Modells

Wer darf was wo?

1. Subject (Wer?): Ein User (user@pve), eine Gruppe (@it-team) oder ein API-Token (Artikel 699).
2. Role (Was?): Eine Sammlung von Privilegien (z.B. VM.PowerMgmt, Datastore.Audit).
3. Path (Wo?): Die Ressource in der Hierarchie (z.B. /vms/100, /storage/local).

# 2. Standard-Rollen in der Praxis

Das Fundament nutzen.

Proxmox liefert vordefinierte Rollen mit:

• PVEVMAdmin: Volle Kontrolle über VMs (Erstellen, Löschen, Konfig).
• PVEVMUser: Nur Management (Start, Stop, Konsole). Ideal für Applikations-Entwickler.
• PVEDatastoreUser: Darf ISOs hochladen und Backups sehen.
• PVEAuditor: Nur Lesen. Ideal für Monitoring-Systeme.

# 3. Deep Dive: Granulare Pfade (ACLs)

Präzise Grenzen ziehen.

Pfade sind hierarchisch aufgebaut. Wenn Sie Rechte auf / vergeben, gelten diese für das gesamte Datacenter (Vererbung).

• Aktion: Schränken Sie den Zugriff ein.
• Szenario: Ein Kunde soll nur seine VM (ID 200) verwalten dürfen.
  • User: kunde@pve.
  • Path: /vms/200.
  • Role: PVEVMAdmin.
• Wichtig: Geben Sie dem User zusätzlich PVEDatastoreUser auf den spezifischen Backup-Storage, damit er seine eigenen Restores durchführen kann.

# 4. Day-2 Operations: Gruppen-Management

Skalierbare Sicherheit.

Verwalten Sie Berechtigungen niemals auf User-Ebene.

1. Erstellen Sie eine Gruppe G-Helpdesk.
2. Weisen Sie der Gruppe alle nötigen ACLs zu.
3. Fügen Sie neue Mitarbeiter einfach der Gruppe hinzu.

• Vorteil: Wenn ein Kollege die Firma verlässt, entziehen Sie nur dem User den Zugriff – das Gruppen-Regelwerk bleibt konsistent.

# 5. Troubleshooting & “War Stories”

Wenn der Zugriff verweigert wird.

# Top 3 Fehlerbilder

1. Symptom: User sieht die VM, aber der “Start” Button ist ausgegraut.

   • Ursache: Der Pfad stimmt (/vms/100), aber die Rolle ist nur PVEAuditor.
   • Lösung: Auf PVEVMUser oder PVEVMAdmin hochstufen.

2. Symptom: Berechtigungen werden nicht vererbt.

   • Ursache: Der Haken bei Propagate wurde in der ACL nicht gesetzt.

3. Symptom: LDAP-User können sich nicht einloggen.

   • Ursache: Der Realm (Artikel 665) wurde in den Permissions nicht korrekt gemappt.

# “War Story”: Der “Blind-Administrator”

Ein Administrator erstellte ein neues VLAN und wollte, dass die Netzwerk-Abteilung die VMs in dieses VLAN verschiebt. Er gab ihnen die Rolle PVEVMAdmin auf den VM-Pfad. Das Ergebnis: Die Kollegen konnten die VM bearbeiten, sahen aber in der Netzwerk-Dropdown-Liste keine Bridges. Die Ursache: Um ein Interface an ein VNet oder eine Bridge zu binden, benötigt der User zusätzlich das Recht SDN.Use oder Sys.Audit auf dem Pfad /sdn oder /nodes. Lehre: Berechtigungen in Proxmox sind oft über Pfade hinweg verknüpft. Prüfen Sie die Abhängigkeiten (Storage, Network, Node) bei jeder Delegation.

# 6. Monitoring & Reporting

Audit der Berechtigungen.

# ACL Audit (Shell)

Exportieren Sie regelmäßig die ACL-Liste für Ihren Compliance-Bericht:

pveum acl list

• KPI: Anzahl der User mit Administrator-Rechten auf /. (Ziel: Nur 2-3 Personen).

# 7. Fazit & Empfehlung

Access Control ist die Basis für das Vertrauen in Ihr Datacenter.

• Empfehlung: Nutzen Sie das Prinzip der minimalen Rechte. Starten Sie mit PVEAuditor und fügen Sie Rechte nur nach Bedarf hinzu.
• Wichtig: Aktivieren Sie TFA (Zwei-Faktor) für jeden User, der mehr als nur PVEAuditor Rechte hat.

# Anhang: Cheatsheet (pveum CLI)

# Referenzen

• Proxmox VE: User Management Documentation
• NIST: Guide to Role-Based Access Control
• Proxmox Wiki: User Management Best Practices