上一章我們介紹的帳號建立及權限指派的功能，但是當帳號跟客體機越來越多的時候，每次採用一對一的方式指派權限與路徑物件，對管理者將是一個很大的操作負擔。因此，我們將利用群組功能將權限指派的操作簡化，方便日後的權限調整以及人員調度場景。

而服務使用深化後，肯定在 Proxmox VE 客體機裡面運行了許多重要服務，若只有採用帳號與密碼保護 Proxmox VE 管理介面，在資安風險高升的今日肯定需要拉高防護層級。在 Proxmox VE 裡面支援了雙因素認證機制，我們可以採用 TOTP 方式搭配手機 App 雙因素認證器，提高 Proxmox VE 管理平台的帳號安全性。

建立帳號群組

要建立使用者群組，請選取 資料中心 (cluster1)，切換至 群組 頁籤，再按下 建立 按鈕。

準備增加群組

進入群組建立選項視窗後，請在 名稱 欄位輸入這個群組主要用途的名稱，注意不可以使用中文。在 備註 欄位輸入較詳細的說明，此處可以輸入中文。

增加群組選項視窗

群組增加完成後，可以在群組清單中看到這一筆已經出現。

增加群組完成

可以依據使用需要建立多個群組，以群組方式指派權限會較為容易，若日後要增加人員的權限時，僅需要將帳號加入群組裡即可，不需要因為有新帳號加入就要重新為新帳號設定所有的客體機權限與角色，省下許多時間。

增加第二個群組完成

將帳號加入群組

群組建立完成之後，接下來就是要把帳號加入群組裡。在 Proxmox VE 的操作邏輯裡，是要進入帳號的設定畫面，將它加入群組之中，而不是在群組設定處選取帳號進來。

請切換至 帳號 頁籤，在 jason 帳號上點選兩下進入編輯畫面。

準備編輯帳號

進入帳號編輯畫面後，請在 群組 下拉清單中選取要加入的群組。

編輯帳號：群組

加完群組後您應該會意識到一個問題：如果我有多個不同的群組，但帳號可能會有多個群組權限的需求，該怎麼辦？

別擔心，此處的群組下拉清單是可以複寫的，請點選需要的群組名稱讓他成為淺藍色背景即可。

編輯帳號：複選群組

像上圖一樣，即可完成選取多個群組，讓使用者同時具備不同群組的權限設定。

指派權限給群組

群組的成員帳號加入成功後，就可以來將群組用在權限指派的地方。

選取 資料中心 (cluster1)，切換至 權限，按下 增加 按鈕後選取 群組權限。

準備增加群組權限

在增加群組權限視窗中，請在 路徑 欄位選取要指派給這個群組的物件路徑，例如 /vms/116 表示給這個群組可以使用 116 這部客體機。

緊接著 群組 欄位請下拉選取剛才所建立好的群組，例如 openvas_users，接著在 角色 欄位中選取要給這個群組的權限，例如我只要給這個群組的成員基本客體機的操作權限，所以選擇 PVEVMUser。

增加群組權限

群組權限增加完成以後，回到清單中可以看到多了這一筆權限資料。可以發現到如果指派的對象是群組，在第二個欄位的前方會多出一個 @ 符號，以方便快速識別這個權限是以群組方式指派的。

增加群組權限成功

確認均設定無誤後，我們可以登出 Proxmox VE 管理介面，重新以 jason@pve 這個剛才有加入群組的帳號登入測試，確認設定是否生效。

登入成功後，確認只能看見剛才所指派給群組的客體機 116，而可以使用的功能選單及按鈕確實也只有客體機的基本使用權限。

以 jason 帳號登入確認群組權限

使用者自行啟用雙因素認證

隨著使用者的服務越用越重要，每個帳號如何確保是本人所登入就是一項非常重要的資安議題。Proxmox VE 支援雙因素認證，採用的是 TOTP (基於時間的一次性驗證碼)，使用者可以自行設定與啟用。

請點選右上角已登入帳號的名稱處，再選取 TFA。

準備設定雙因素認證

進入雙因素認證畫面後，中間會出現一組 QR Code，請利用智慧型手機上所安裝支援 TOTP 的雙因素認證 App 掃描，將它加入。

準備掃描雙因素認證 QR Code

智慧型手機上的 App 掃完 QR Code 建檔後，點選它即可立即產生一組 TOTP 的雙因素認證碼。

使用手機 App 掃描 QR Code 建檔完成

補充：

本例採用 RedHat FreeOTP，其它所有支援標準 TOTP 的雙因素認證器都可以搭配使用。

回到 Proxmox VE 介面上，將剛剛產生好的認證碼填入，再於 密碼 欄位輸入這個帳號的密碼，按下套用後如果沒有錯誤，即表示設定成功。

填入雙因素認證 QR Code

提醒：

請保存好手機上的 App 設定，若遺失手機或 App 移除後將無法取得雙因素認證碼登入，特別留意。

下次要登入 Proxmox VE 管理介面時，在登入帳號與密碼成功後，即會彈出第二階段的雙因素認證碼，請拿起手機的 App，將產生後的認證碼填入即可登入成功。

登入 Proxmox VE 時要求雙因素認證碼

管理者強制啟用雙因素驗證

除了讓使用者自行啟用雙因素認證外，也可以由管理者強制所有使用者都必須使用雙因素認證碼才能進入 Proxmox VE 系統使用。

進入 資料中心 (cluster1)，切換至 驗證 頁籤，在需要啟用的領域上點兩下進入編輯。

準備啟用雙因素認證要求

在 要求雙因素驗證 欄位下拉清單中選取要啟用的方式，可選取 OATH/TOTP 以啟用 TOTP 的認證方式。

啟用雙因素認證要求：要求雙因素驗證

選取為 OATH/TOTP 後，下面會多出兩個欄位 時區步驟 與 秘鑰長度，建議保持預設不要更動，讓它保有最好的相容性。

啟用雙因素認證要求：注意事項

設定完成後，在清單中可以看到 pve 這個領域的 雙因素驗證 欄位多出了 oath 的字樣，代表已經設定完成。

強制啟用雙因素認證要求完成

提醒：

如果對整個領域啟用了強制雙因素認證，那麼必須確保該領域的所有帳號都已經事先設定過雙因素認證器的操作，否則這些帳號是無法登入的。

補充：

本章中的名稱應為 雙因素認證。然因原先的 Proxmox VE 翻譯誤植為 雙因素驗證，因此圖說保持不變，我將會在下次 i18n 繁體中文本地化檔案提交時一併更正過來，特此說明。