上一章我们介绍的帐号建立及权限指派的功能，但是当帐号跟客体机越来越多的时候，每次采用一对一的方式指派权限与路径物件，对管理者将是一个很大的操作负担。因此，我们将利用群组功能将权限指派的操作简化，方便日後的权限调整以及人员调度场景。

而服务使用深化後，肯定在 Proxmox VE 客体机里面运行了许多重要服务，若只有采用帐号与密码保护 Proxmox VE 管理介面，在资安风险高升的今日肯定需要拉高防护层级。在 Proxmox VE 里面支援了双因素认证机制，我们可以采用 TOTP 方式搭配手机 App 双因素认证器，提高 Proxmox VE 管理平台的帐号安全性。

建立帐号群组

要建立使用者群组，请选取 资料中心 (cluster1)，切换至 群组 页签，再按下 建立 按钮。

准备增加群组

进入群组建立选项视窗後，请在 名称 栏位输入这个群组主要用途的名称，注意不可以使用中文。在 备注 栏位输入较详细的说明，此处可以输入中文。

增加群组选项视窗

群组增加完成後，可以在群组清单中看到这一笔已经出现。

增加群组完成

可以依据使用需要建立多个群组，以群组方式指派权限会较为容易，若日後要增加人员的权限时，仅需要将帐号加入群组里即可，不需要因为有新帐号加入就要重新为新帐号设定所有的客体机权限与角色，省下许多时间。

增加第二个群组完成

将帐号加入群组

群组建立完成之後，接下来就是要把帐号加入群组里。在 Proxmox VE 的操作逻辑里，是要进入帐号的设定画面，将它加入群组之中，而不是在群组设定处选取帐号进来。

请切换至 帐号 页签，在 jason 帐号上点选两下进入编辑画面。

准备编辑帐号

进入帐号编辑画面後，请在 群组 下拉清单中选取要加入的群组。

编辑帐号：群组

加完群组後您应该会意识到一个问题：如果我有多个不同的群组，但帐号可能会有多个群组权限的需求，该怎麽办？

别担心，此处的群组下拉清单是可以复写的，请点选需要的群组名称让他成为浅蓝色背景即可。

编辑帐号：复选群组

像上图一样，即可完成选取多个群组，让使用者同时具备不同群组的权限设定。

指派权限给群组

群组的成员帐号加入成功後，就可以来将群组用在权限指派的地方。

选取 资料中心 (cluster1)，切换至 权限，按下 增加 按钮後选取 群组权限。

准备增加群组权限

在增加群组权限视窗中，请在 路径 栏位选取要指派给这个群组的物件路径，例如 /vms/116 表示给这个群组可以使用 116 这部客体机。

紧接着 群组 栏位请下拉选取刚才所建立好的群组，例如 openvas_users，接着在 角色 栏位中选取要给这个群组的权限，例如我只要给这个群组的成员基本客体机的操作权限，所以选择 PVEVMUser。

增加群组权限

群组权限增加完成以後，回到清单中可以看到多了这一笔权限资料。可以发现到如果指派的对象是群组，在第二个栏位的前方会多出一个 @ 符号，以方便快速识别这个权限是以群组方式指派的。

增加群组权限成功

确认均设定无误後，我们可以登出 Proxmox VE 管理介面，重新以 jason@pve 这个刚才有加入群组的帐号登入测试，确认设定是否生效。

登入成功後，确认只能看见刚才所指派给群组的客体机 116，而可以使用的功能选单及按钮确实也只有客体机的基本使用权限。

以 jason 帐号登入确认群组权限

使用者自行启用双因素认证

随着使用者的服务越用越重要，每个帐号如何确保是本人所登入就是一项非常重要的资安议题。Proxmox VE 支援双因素认证，采用的是 TOTP (基於时间的一次性验证码)，使用者可以自行设定与启用。

请点选右上角已登入帐号的名称处，再选取 TFA。

准备设定双因素认证

进入双因素认证画面後，中间会出现一组 QR Code，请利用智慧型手机上所安装支援 TOTP 的双因素认证 App 扫描，将它加入。

准备扫描双因素认证 QR Code

智慧型手机上的 App 扫完 QR Code 建档後，点选它即可立即产生一组 TOTP 的双因素认证码。

使用手机 App 扫描 QR Code 建档完成

补充：

本例采用 RedHat FreeOTP，其它所有支援标准 TOTP 的双因素认证器都可以搭配使用。

回到 Proxmox VE 介面上，将刚刚产生好的认证码填入，再於 密码 栏位输入这个帐号的密码，按下套用後如果没有错误，即表示设定成功。

填入双因素认证 QR Code

提醒：

请保存好手机上的 App 设定，若遗失手机或 App 移除後将无法取得双因素认证码登入，特别留意。

下次要登入 Proxmox VE 管理介面时，在登入帐号与密码成功後，即会弹出第二阶段的双因素认证码，请拿起手机的 App，将产生後的认证码填入即可登入成功。

登入 Proxmox VE 时要求双因素认证码

管理者强制启用双因素验证

除了让使用者自行启用双因素认证外，也可以由管理者强制所有使用者都必须使用双因素认证码才能进入 Proxmox VE 系统使用。

进入 资料中心 (cluster1)，切换至 验证 页签，在需要启用的领域上点两下进入编辑。

准备启用双因素认证要求

在 要求双因素验证 栏位下拉清单中选取要启用的方式，可选取 OATH/TOTP 以启用 TOTP 的认证方式。

启用双因素认证要求：要求双因素验证

选取为 OATH/TOTP 後，下面会多出两个栏位 时区步骤 与 秘钥长度，建议保持预设不要更动，让它保有最好的相容性。

启用双因素认证要求：注意事项

设定完成後，在清单中可以看到 pve 这个领域的 双因素验证 栏位多出了 oath 的字样，代表已经设定完成。

强制启用双因素认证要求完成

提醒：

如果对整个领域启用了强制双因素认证，那麽必须确保该领域的所有帐号都已经事先设定过双因素认证器的操作，否则这些帐号是无法登入的。

补充：

本章中的名称应为 双因素认证。然因原先的 Proxmox VE 翻译误植为 双因素验证，因此图说保持不变，我将会在下次 i18n 繁体中文本地化档案提交时一并更正过来，特此说明。