# PVE AD/LDAP 驗證同步

---

# 實作環節

進入 AD UI

---

# 進到 AD/LDAP 設定頁面

設定 AD/LDAP 掛載憑證是根據 AD/LDAP 名稱所生成的 FQDN，接者下載憑證

---

# 建立計畫部門群組

在 Permissions 下 新增 計畫群組

接者把計畫成員加入進來

CN=(計畫名稱),OU=Permissions,DC=w100,DC=citc

---

# 建立使用者

在 Members 下 新增 使用者

CN=(計畫名稱),OU=Permissions,DC=w100,DC=citc

---

# 進到 PVE Cluster

選擇權限 > 領域 > 增加 > LDAP 伺服器

填上 AD/LDAP 資訊

基礎網域名稱: DC=w100,DC=citc
使用者屬性名稱: sAMAccountName
伺服器: Server IP 140.96.111.70
模式 LDAPS

繫結帳號 nasw1\tim
繫結密碼 123456
使用者類別: person,user
群組類別: group
Email 屬性: mail
使用者篩選器: (&(memberOf=CN = 專案群組名稱，OU=Permissions,DC=w100,DC=citc))
群組篩選器: (&(distinguishedName=CN = 專案群組名稱，OU=Permissions,DC=w100,DC=citc))
範圍：使用者與群組
移除項目都打勾

---

# 實踐群組與帳戶同步

完成 AD/LDAP 設定之後，點選剛設定好的 AD/LDAP 點選同步
先用預覽來看是否正確設定與同步
確認後開始正式同步

最後在 PVE 的群組與帳戶 能夠看新同步的群組與帳戶，帳戶與群組身分也應該正確綁定。

---

# 授予群組 PVE 操作權限

先前在一個計劃底下會有兩個以上的群組 (計畫名稱_admin, 計畫名稱_dev, 計畫名稱_devops 等)

在 PVE 群組中也會有對應的群組 接者需要授予群縣

進入 PVE 權限 > 新增群組權限
選擇群組 > 路徑 (可作用範圍) > 角色 (可操作權限)

admin > 根路徑 > PVEAdmin
devops > /vms/(vm_id) > PVEVMAdmin
dev > /vms/(vm_id) > PVEVMUser

就大功告成了

---

# 參考文章

• Proxmox 虚机平台与 AD 域集成
• 同步 AD 的用户和组到 PVE