// Bezpieczeństwo i dostęp// AD · RBAC

Uprawnienia w Proxmox i integracja z Active Directory

Kto może co zrobić w Twoim klastrze? Proxmox ma rozbudowany model ról i uprawnień (RBAC), a logowanie spinasz z Active Directory / LDAP — użytkownicy logują się firmowymi kontami, a dostępem sterujesz przez grupy AD. To zarazem wygoda, bezpieczeństwo i element ładu IT, który docenią audytorzy.

// 01 · Model uprawnień

Użytkownicy, grupy, role i ACL na ścieżkach

Uprawnienia w Proxmox to połączenie trzech elementów: kto (użytkownik lub grupa), jaka rola (zestaw przywilejów, np. PVEVMAdmin) oraz na czym (ścieżka: /, /vms/<id>, pula zasobów, storage). Uprawnienie nadajesz jako wpis ACL na ścieżce — i dziedziczy się w dół drzewa.

ℹ️

Grupuj zasoby w Pools (np. pula „Dział-X”) i nadawaj role na puli — zamiast na pojedynczych VM. Mniej klikania, mniej błędów.

// 02 · Realm Active Directory

Logowanie firmowym kontem

Proxmox obsługuje kilka źródeł uwierzytelniania (realms): lokalne PAM, wbudowane PVE oraz LDAP/Active Directory. Dodajesz realm AD w Datacenter → Permissions → Realms, podając serwer, domenę (base DN) i konto bind do odpytywania katalogu. Od tej chwili pracownicy logują się danymi z domeny — bez tworzenia osobnych kont w Proxmox.

  • Sync grup i użytkowników: Proxmox potrafi cyklicznie synchronizować obiekty z AD (Sync Options), więc nowy pracownik w odpowiedniej grupie AD dostaje dostęp automatycznie.
  • Bezpieczeństwo połączenia: używaj LDAPS (TLS), konta bind o minimalnych prawach i filtrów ograniczających zakres synchronizacji.
// 03 · Mapowanie grup AD → role

Dostęp przez grupy, nie konta

Klucz do utrzymywalnego dostępu: nadawaj role grupom, nie pojedynczym ludziom. Przykład: grupa AD Proxmox-Admini → rola Administrator na /; grupa Dział-X-Operatorzy → rola PVEVMAdmin na puli Dział-X. Dodanie/odebranie dostępu sprowadza się wtedy do zmiany członkostwa w AD — w jednym, znanym miejscu.

💡

Wbudowane role (PVEVMAdmin, PVEDatastoreUser, PVEAuditor…) pokrywają większość przypadków. W razie potrzeby tworzysz własną rolę z dokładnie wybranymi przywilejami.

// 04 · Dlaczego to ważne dla organizacji

Ład, audyt i mniejsze ryzyko

  • Zasada najmniejszych uprawnień: każdy ma dokładnie tyle dostępu, ile potrzebuje — mniejsza powierzchnia ataku i błędu.
  • Jedno źródło prawdy: odejście pracownika = wyłączenie konta w AD odbiera dostęp wszędzie, także w Proxmox.
  • Audytowalność: czytelne role i grupy ułatwiają wykazanie zgodności (ISO 27001, NIS2, polityki wewnętrzne).
  • API tokens: automatyzacja i integracje dostają własne, ograniczone tokeny zamiast haseł ludzi.

Wdrożymy bezpieczny model dostępu

Zaprojektujemy role, pule i integrację z Active Directory zgodnie z zasadą najmniejszych uprawnień i Twoimi wymogami compliance.

⚡ Bezpłatna konsultacja→ 2FA w Proxmox
// Security & access// AD · RBAC

Proxmox permissions and Active Directory integration

Who can do what in your cluster? Proxmox has a rich role and permission model (RBAC), and you wire login up to Active Directory / LDAP — users sign in with corporate accounts and you control access through AD groups. It's convenience, security and a piece of IT governance auditors will appreciate.

// 01 · The permission model

Users, groups, roles and path ACLs

Permissions in Proxmox combine three things: who (a user or group), which role (a set of privileges, e.g. PVEVMAdmin) and on what (a path: /, /vms/<id>, a resource pool, storage). You grant a permission as an ACL entry on a path — and it inherits down the tree.

ℹ️

Group resources into Pools (e.g. a "Dept-X" pool) and assign roles on the pool — rather than on individual VMs. Less clicking, fewer mistakes.

// 02 · The Active Directory realm

Sign in with a corporate account

Proxmox supports several authentication sources (realms): local PAM, built-in PVE and LDAP/Active Directory. You add an AD realm under Datacenter → Permissions → Realms, providing the server, domain (base DN) and a bind account to query the directory. From then on employees log in with their domain credentials — without creating separate Proxmox accounts.

  • User/group sync: Proxmox can periodically sync objects from AD (Sync Options), so a new employee in the right AD group gets access automatically.
  • Connection security: use LDAPS (TLS), a least-privilege bind account and filters that limit the sync scope.
// 03 · Mapping AD groups → roles

Access via groups, not accounts

The key to maintainable access: assign roles to groups, not individual people. Example: AD group Proxmox-Admins → role Administrator on /; group Dept-X-Operators → role PVEVMAdmin on the Dept-X pool. Granting/revoking access then comes down to changing AD membership — in one familiar place.

💡

Built-in roles (PVEVMAdmin, PVEDatastoreUser, PVEAuditor…) cover most cases. When needed, you create a custom role with exactly the privileges you choose.

// 04 · Why it matters for the organisation

Governance, audit and lower risk

  • Least privilege: everyone has exactly the access they need — a smaller attack and error surface.
  • Single source of truth: an employee leaving = disabling their AD account revokes access everywhere, Proxmox included.
  • Auditability: clear roles and groups make demonstrating compliance easier (ISO 27001, NIS2, internal policies).
  • API tokens: automation and integrations get their own scoped tokens instead of human passwords.

We'll implement a secure access model

We'll design roles, pools and Active Directory integration following least-privilege and your compliance requirements.

⚡ Free consultation→ 2FA in Proxmox