# Proxmox Authentication: LDAP, SAML & Single-Sign-On

TL;DR / Management Summary Die manuelle Verwaltung von User-Accounts auf jedem einzelnen Proxmox-Knoten ist ineffizient und unsicher. Wir binden den Cluster an zentrale Identitätsquellen (Authentication Realms) an. Während Microsoft Active Directory (LDAP) der Standard für On-Premise Umgebungen ist, ermöglicht SAML oder OpenID Connect (OIDC) die Integration in moderne Cloud-Identity-Provider (z.B. Okta, Azure AD, Keycloak). Ein Senior Admin nutzt diese Integrationen, um Multi-Faktor-Authentifizierung (MFA) global durchzusetzen und das Onboarding neuer Teammitglieder zu automatisieren.

# 1. LDAP & Active Directory Integration

Der Klassiker im LAN.

Proxmox kann direkt mit LDAP-Servern kommunizieren, um User zu validieren.

1. Server: IP Ihres Domain Controllers oder OpenLDAP-Servers.
2. Base DN: Wo liegen die User? (z.B. OU=IT,DC=firma,DC=local).
3. Bind User: Ein Service-Account mit Leserechten.
4. Sync: Proxmox kann Gruppen und User-Attribute (z.B. Email) automatisch synchronisieren.

# 2. SAML & OpenID Connect (OIDC)

Modernes Single-Sign-On.

SAML (Security Assertion Markup Language) und OIDC sind heute der Standard für Web-Applikationen.

• Vorteil: Der User gibt sein Passwort nie bei Proxmox ein, sondern nur beim Identity Provider (IdP).
• Vorteil: Zentrale Durchsetzung von MFA (Conditional Access).
• Setup: Proxmox agiert als Relying Party. Sie tauschen Metadaten-XMLs oder Client-Secrets mit dem IdP aus.

# 3. Deep Dive: Gruppen-Mapping (Attribute Mapping)

Rollen automatisch zuweisen.

Der wahre Mehrwert liegt im Mapping von Identitäts-Gruppen auf Proxmox-Rollen (Artikel 709).

• Beispiel: Ein User in der AD-Gruppe PVE-Admins bekommt in Proxmox automatisch die Rolle Administrator.
• Technik: Nutzen Sie das Feld “Group classes” und “User classes” im LDAP-Realm, um die Struktur Ihres ADs abzubilden.

# 4. Day-2 Operations: Fallback & Notfall-Zugriff

Wenn der DC schweigt.

Verlassen Sie sich niemals zu 100% auf externe Realms.

• Regel: Behalten Sie immer den lokalen root@pam Account aktiv und physisch gesichert (Notfall-Umschlag).
• Szenario: Wenn Ihr AD-Server eine VM im Proxmox-Cluster ist und der Cluster nach einem Stromausfall nicht startet, können Sie sich ohne lokalen User nicht einloggen, um den DC zu starten (Henne-Ei-Problem).

# 5. Troubleshooting & “War Stories”

Wenn der Login scheitert.

# Top 3 Fehlerbilder

1. Symptom: “Authentication failed” bei LDAP-Usern.

   • Ursache: DNS-Probleme (Hostname des DC nicht auflösbar) oder Port 636 (LDAPS) in der Firewall blockiert.
   • Lösung: pvesm scan ldap <IP> (via Shell) testen.

2. Symptom: SAML-Redirect landet auf einer Fehlerseite.

   • Ursache: Zeitstempel-Mismatch. SAML-Assertions sind nur Sekunden gültig.
   • Fix: NTP-Sync (Artikel 543) auf dem Proxmox-Host und dem IdP sicherstellen.

3. Symptom: User sieht keine VMs nach erfolgreichem Login.

   • Ursache: Authentifizierung war erfolgreich, aber es wurden keine Permissions (ACLs) für den neuen User vergeben.

# “War Story”: Der “Double-Auth” Frust

Ein Admin aktivierte MFA in Proxmox (TOTP) und zusätzlich MFA in seinem Azure AD (OIDC). Das Ergebnis: User mussten sich erst bei Azure mit dem Handy verifizieren und danach in Proxmox erneut einen 6-stelligen Code eingeben. Die Akzeptanz im Team sank auf Null, und Admins begannen, den lokalen Root-Account mit einem geteilten Passwort zu nutzen (Sicherheits-GAU). Lehre: Nutzen Sie MFA nur an einer Stelle. Wenn Ihr IdP (z.B. Keycloak) bereits MFA erzwingt, deaktivieren Sie das zusätzliche TFA-Feld im Proxmox-Realm.

# 6. Monitoring & Reporting

Audit der Identitäten.

# Auth Audit (Shell)

Überwachen Sie die Login-Aktivitäten:

# Zeigt alle erfolgreichen Logins und deren Realm
grep "successful auth" /var/log/pveproxy/access.log

# 7. Fazit & Empfehlung

Zentrale Identität ist ein Muss für jeden Cluster ab 3 Admins.

• Empfehlung: Nutzen Sie OIDC, wenn Sie eine moderne Cloud-Identity haben. Es ist am einfachsten zu konfigurieren.
• Wichtig: Verwenden Sie für LDAP-Verbindungen immer TLS (Port 636). Passwörter im Klartext über das LAN zu schicken, ist 2024 ein absolutes No-Go.

# Anhang: Cheatsheet (Realm Konfiguration)

# Referenzen

• Proxmox VE: User Authentication Realms
• Keycloak: OpenID Connect Integration Guide
• Active Directory LDAP Syntax Reference