+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Аутентификация клиента PBS с помощью API токена не работает., Proxmox Backup Server

DerDanilo

Guest

23.11.2020 01:28:00

Из документации:
user@pbs!token@host:store
user@pbs!token myhostname:8007 mydatastore

Bash:
proxmox-backup-client backup server1.pxar:/ --repository 'vmbackup@pbs!MYTOKEN@PBSHOST:backup'

При попытке подключения с использованием API токена клиент выдаёт ошибку:
Bash: Error: error building client for repository vmbackup@pbs!MYTOKEN@PBSHOST:8007:backup - API token secret must be provided!

При подключении с использованием имени пользователя и пароля без токена всё работает нормально. Пробовал как в ZSH, так и в BASH. Оба варианта не срабатывают.

API токен должен быть правильным, так как он только что создан и пользователю даны все необходимые права.

Это ошибка синтаксиса или что я делаю не так? Спасибо!

Dominic

Guest

07.12.2020 09:29:00

Ты имеешь в виду, что в этой строке кода: export PBS_USER_STRING='HOSTbackup@pbs!HOSTbackup' дважды встречается HOSTbackup? Потому что это не должно быть нужно. Когда ты вводишь команду: proxmox-backup-manager user list, в ответ получаешь userid forumuser@pbs, а когда показываешь его ключи командой: proxmox-backup-manager user list-token forumuser@pbs, то получаешь tokenid forumuser@pbs!forumtoken. Значит, userid — это часть tokenid, но не то же самое, что tokenid?

DerDanilo

Guest

07.12.2020 11:34:00

Спасибо за быстрый ответ. Здесь можно задать имя собственного токена.

Наверное, я что-то сделал не так, потому что при повторном тесте всё заработало. Возможно, была ошибка в синтаксисе.
Идея в том, чтобы использовать одного пользователя pbs и один API-токен на каждую виртуальную машину (внутренние ВМ, так что не проблема, что каждая ВМ может читать бэкапы других ВМ).
Для каждой папки Host установлен владелец — это строка с именем пользователя (включая имя токена).
Возможно ли настроить права токена так, чтобы он мог читать только свои собственные файлы резервных копий, а не чужие?
При просмотре списка бэкапов отображаются все бэкапы для хранилища, а не только те, которые создал или которыми владеет пользователь.

Dominic Guest	#4 0 09.12.2020 09:40:00 Существует роль под названием DatastoreBackup, с помощью которой можно создавать и восстанавливать собственные резервные копии. Возможно, это именно то, что вам нужно. Все роли можно найти в документации PBS.

DerDanilo

Guest

17.02.2021 13:12:00

Кто-нибудь заинтересован в роли Ansible, которая пишет скрипты резервного копирования PBS, настраивает (предварительно предоставленный) файл ключа шифрования для резервного копирования и добавляет задания в cron? Я не планирую обновлять эту роль в основном репозитории, но могу выложить её на Github, чтобы люди могли с ней поиграться.

Joi Owen Guest	#6 0 18.02.2021 18:15:00 Мне было бы интересно посмотреть, что у тебя есть, да.

DerDanilo Guest	#7 0 10.03.2021 18:09:00 Вот, держи. https://github.com/DerDanilo/proxmox-stuff/tree/master/Ansible

Joi Owen

Guest

11.03.2021 18:15:00

Я уже склонировал это чудо! Я новичок в ansible, но у начальства здесь от него просто фанаты, так что я делаю несколько плейбуков для типовых задач по управлению нашим зоопарком из proxmox’ов. Вы принимаете pull requests?

DerDanilo Guest	#9 0 11.03.2021 18:27:00 Конечно!

christian.g

Guest

#10

07.06.2021 12:48:00

Я думаю, тут возникло недопонимание по поводу части с «token» в командной строке. Речь идет не о секретном токене, а об ID токена (том самом ID, который вы присвоили токену при его создании). Я бы предложил изменить формулировку в документации (https://pbs.proxmox.com/docs/backup-client.html#environment-variables) с Code: user@pbs!token@host:store на Code: user@pbs!token-id@host:store.

franko5

Guest

#11

06.10.2021 15:28:00

Привет, у меня возникли проблемы с корректной работой этого процесса. Уже есть пользователь backup@pbs, который регулярно делает бэкапы виртуальных машин. Также бэкап файлов/директорий с теми же учетными данными работает без проблем с командой:

Bash:
$ proxmox-backup-client backup test.pxar:/root/test/ --repository 'backup@pbs@192.168.50.3:archive'
(пароль я экспортировал в переменную PBS_PASSWORD)

Теперь я хочу сделать дополнительный бэкап с использованием токена. Права API-токена принадлежат пользователю backup@pbs и совпадают с правами backup@pbs: DatastoreReader, DatastoreBackup. Значение токена я экспортировал в PBS_PASSWORD. Команда для создания бэкапа выглядит так:

Bash:
$ proxmox-backup-client backup test.pxar:/root/test/ --repository 'backup@pbs!token-name@192.168.50.3:archive'

Starting backup: host/test/2021-10-06T13:08:36Z
Client name: proxmox-5
Starting backup protocol: Wed Oct 6 15:08:36 2021
Error: backup owner check failed (backup@pbs!token-name != backup@pbs)

Последняя ошибка вызывает вопросы: почему сервер ожидает обычного пользователя, а не с токеном? У меня есть два API — один создан в GUI, другой в shell, оба видны в интерфейсе. Даже если я даю API права DatastoreAdmin в Datastore->Permissions, сервер все равно отвечает одинаково. Может ли быть так, что нельзя одновременно использовать и API, и обычного пользователя с одной и той же клиентской машины?

Заранее спасибо!

franko5 Guest	#12 0 07.10.2021 17:21:00 Альтернативный вариант того же вопроса: как правильно и безопасно скрыть пароль пользователя backup@pbs, который используется для регулярного резервного копирования через cronjob?

Dunuin

Guest

#13

07.10.2021 23:16:00

Вам нужно сменить владельца уже существующих групп резервных копий. Сейчас владельцем является "backup@pbs", а нужно изменить на "backup@pbs!token-name". Сделать это можно через веб-интерфейс PBS, кликнув на иконку в виде человечка в разделе "Datastore -> YourDatastore -> Content". Как описано выше, используйте переменную окружения PBS_PASSWORD. Добавьте её в файл ".bashrc" пользователя, который запускает cron.

franko5

Guest

#14

08.10.2021 11:19:00

Привет, @Dunuin! Спасибо за ответ. Изменение прав доступа так, как ты описал, — это выход из ситуации. Всё работает как надо. Единственный минус — для смены прав на API-пользователя должна быть резервная копия хоста. Мне нужно понять, как это организовать эффективно, чтобы развернуть на всех серверах. Думаю, добавить пароль куда-нибудь в файл типа ".bashrc" — будет вполне рабочим решением. Всего хорошего!

MilKnC00K13z Guest	#15 0 17.12.2021 19:10:00 Я бы с удовольствием! (пусть и с опозданием)

DerDanilo Guest	#16 0 18.12.2021 09:36:00 https://github.com/DerDanilo/proxmox-stuff/tree/master/Ansible/pbs_client_backups Уже выпущено некоторое время назад. Воспользуйтесь на здоровье!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры