Proxmox VE 平台功能丰富，随着建立的客体机服务越来越多，组织成长後势必需要进行分工管理，例如由资讯单位建立一批客体机供研发单位使用；或者是不同的资讯系统由不同的承办人员管理，经过这些详细的区分，可以确保权责以及管理的方便性。

基於这些要求，Proxmox VE 提供了帐号系统以及依据物件指派权限的功能，协助管理者能够兼顾分派出去的使用者便利性，又可以兼顾安全要求。

本机帐号 (PAM)

在安装好的 Proxmox VE 系统中，会有一组内建的预设帐号 root，这个帐号就是 Linux 本机权限系统的一员。

Linux 的帐号认证系统为 PAM (Pluggable Authentication Modules)，因此当我们要登入 Proxmox VE 文字命令列时，直接以 root 帐号登入，而在 Proxmox VE 网页管理介面登入时，会在 领域 栏位选择 Linux PAM standard authentication 类型，才能以 root 登入。

登入预设 root 帐号时的领域选择

这种认证方式好处在於每一个 Proxmox VE 节点使用该节点的 root 帐号密码即可登入，缺点是若各个节点的 root 帐号所设定的密码不同，那麽管理者登入时就会造成困扰。别忘了，Proxmox VE 是一个去中心化的丛集，登入任何一台节点都可以管理整个丛集，但如果每个节点的 root 密码都不一样，每次登入就会跟猜谜一样。

系统帐号 (PVE)

除了采用 PAM 认证机制外，Proxmox VE 管理平台层也有自己的帐号系统，这个帐号系统就可适用於丛集，建立一个帐号就可以用来管理所有节点，降低记忆多组密码的困扰。

请在资源检视区中选取 资料中心 (cluster1)，切换至 帐号 页签，再按下 增加 按钮。

准备新增 PVE 系统帐号

进入帐号增加选项视窗後，请在 帐号 栏位填入帐号名称，例如 admin，在 领域 下拉清单中选取 Proxmox VE authentication server。

新增 PVE 系统帐号：帐号与领域

在 密码 与 确认密码 栏位输入这个帐号的指定密码，名 跟 姓 栏位可以输入用来识别的资讯，邮件 栏位请输入这个使用者电子邮件信箱。

最後，备注 栏位可以填写一些提醒事项，都确认无误後按下 增加 按钮。

新增 PVE 系统帐号：其它栏位

当增加完成以後，可以在列表上看到增加完成的帐号。若要变更密码，可以先选取要变更密码的帐号後，再按上方 密码 按钮进行变更。

新增 PVE 系统帐号完成及变更密码

接下来，我们可以先登出目前的 root@pam 帐号，准备等下以新建好的 admin@pve 帐号登入。按下画面右上方的 root@pam，再选取 登出。

准备登出帐号

补充：

在 Proxmox VE 里要表示帐号与领域的方式，采用 帐号@领域 格式。

来到登入画面後，在 帐号 与 密码 栏位填入 admin 以及 它的密码，领域 栏位记得切换为 Proxmox VE authentication server，再按下 登入。

准备登入 admin 帐号

登入完成後，可以在右上方看到已经变成 admin@pve，表示我们已经登入 PVE 帐号系统的 admin 帐号无误。

不过，这时会发现左边的资源检视区没有任何的客体机与储存集区，中间的选单也很少清单区也没有任何内容，这是怎麽回事呢？

已经登入 admin 帐号

这个原因在於，虽然建立好帐号但还没有指派任何权限，所以看不到任何可以使用的项目。

权限指派

前面小节提到了建立帐号，但没有指派权限的问题，这里我们就来说明如何指派权限给帐号。

在 Proxmox VE 中有两种指派权限的方式，一种是直接宣告物件的路径给帐号，另外一种是到物件里选取帐号，两种作法各有方便之处，以下会分别介绍。

路径物件指派：管理员

我们先以 root@pam 帐号重新登入 Proxmox VE 管理介面，选取 资料中心 (cluster1)，切换至 权限 页签，按下增加按钮弹出的 帐号权限 项目。

准备指派帐号权限

进入增加帐号权限选项画面，在 路径 栏位下拉选取 /，表示给予整个 Proxmox VE 系统所有物件的权限。

增加帐号权限：路径

在 帐号 栏位中选取要指派权限的帐号，请选择 admin@pve。

增加帐号权限：帐号

在指派权限 角色 的栏位，因为我们要指派一个 Proxmox VE 系统的全域管理员，所以选取权限最高的 Administrator 角色。

增加帐号权限：角色

确认上述三个栏位都正确後，按下 增加 按钮即可。

增加帐号权限：完成

回到权限清单後，即可看到已经多出了这一笔帐号。

帐号权限清单

此时可以登出系统，再次以 admin@pve 帐号登入，此时看右上角确认是登入为 admin@pve 帐号，左边资源检视区也已经看到了完整的客体机、储存，以及页签及相关按钮。

重新登入 admin 帐号确认权限

路径物件指派：使用者

建立完管理员，接下来我们可以再建立只有基本客体机操作权限的帐号，让它只能使用现有已经建立好的客体机，无法新增修改，避免客体机被不该有权限删除的人误删。

依据上一个小节建立 admin@pve 帐号的方式，另外建立一个 jason@pve 帐号，然後准备进入指派权限。

请选取 资料中心 (cluster1)，切换至 权限 页签，按下 增加 按钮，再选取 帐号权限 项目。

准备增加 jason 帐号权限

进入增加帐号权限选项视窗後，在 路径 栏位下拉选取 vms，这个路径表示包含所有的客体机。

增加帐号权限：路径

在 帐号 栏位下拉选取要指派的权限，本例请选择 jason@pve。

增加帐号权限：帐号

因为我们只需要指派客体机的使用权限而非管理，所以请在 角色 栏位下拉选取 PVEVMUser。

增加帐号权限：角色

增加完成後，可以在清单中看到这一笔权限设定。

增加帐号权限完成

完成後可以登出 admin@pve 帐号，以 jason@pve 帐号登入，此时可以看到资源检视区可以看见所有的客体机但看不见储存区，这是因为我们没有将储存区的权限指派给它。

同时，在 资料中心 (cluster1) 的页签可以看见的功能也变少很多，这都可以确认我们所给予的权限正确，没有让该使用者俱备过高的权限功能。

重新登入 jason 帐号确认权限

单一物件指派

现在介绍另一种权限指派方法，对於要快速指派权限在某几个物件时会较为方便。

例如，我们只想要指派一部 108 (demo-openvas-2) 客体机指派给 kevin@pve 这个帐号使用，就可以使用这个方式。

请先重新登入为 admin@pve 管理者帐号，依据先前的作法建立一个新帐号 kevin@pve。

在资源检视区选取 108 (demo-openvas-2) 这个客体机，切换至 权限 页签，按下 增加 再选取 帐号权限。

准备指派 108 客体机帐号权限

增加帐号权限选项视窗中，请於 帐号 栏位下拉选取 kevin@pve 帐号。

指派客体机帐号权限：帐号

在 角色 栏位中，下拉选取 PVEVMUser。

指派客体机帐号权限：角色

增加完成後，回到清单看见这个帐号权限已指派於该客体机。

指派客体机帐号权限完成

登出 Proxmox VE 管理介面并以 kevin@pve 帐号登入，可以看见明显的差异；左边的资源检视区只有出现被指派的 108 (demo-openvas-2) 这一部客体机。

而客体机的 硬体 页签中都无法做修改，亦无法操作迁移，确保了使用者被限缩在我们指派的物件以及权限，这个功能适用在许多场景，例如由 IT 管理员建立测试环境供 RD 使用；又或者教学者建立好一批上课用的客体机，再指派给学员进入使用。

确认客体机帐号权限正确