Bug 53010

Summary: Не работает OpenID аутентификация с Authentik
Product: Sisyphus Reporter: Andrey Limachko <liannnix>
Component: pve-managerAssignee: Alexey Shabalin <shaba>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: andy, darisishe, shaba, shrek, tyaplyapych
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description Andrey Limachko 2025-02-09 23:22:45 MSK 
Сервер с PVE:
libproxmox-rs-perl-0.3.4-alt3.x86_64
libpve-rs-perl-0.9.1-alt3.x86_64
pve-manager-8.3.1-alt1.x86_64

Контейнер с Authentik:
Развернуты оригинальные docker контейнеры через docker-compose.
Версия: 2024.12.3

Настраивал по инструкции: https://docs.goauthentik.io/integrations/services/proxmox-ve/

При попытке аутентификации в Web GUI пишет:
OpenID login failed, please try again
authentication failure (401)

journalctl при этом говорит:
pvedaemon[855370]: openid authentication failure; rhost=::ffff:10.0.9.1 msg=Failed to contact token endpoint: Failed to parse server response

Небольшой дебаг показал следующее:
Аутентификация обрабатывается в файле /usr/share/perl5/PVE/API2/OpenId.pm . Там кусок кода, обёрнутый в eval начиная с 162 строки.
Проюлемы начинаются со строки
my $info = $openid->verify_authorization_code($param->{code}, $private_auth_state);

$openid получается так:
my $openid = PVE::RS::OpenId->discover($openid_config, $redirect_url);

Это приводит нас к очередному модулю на Rust, чтоб его...
https://git.proxmox.com/?p=proxmox.git;a=blob;f=proxmox-openid/src/lib.rs;h=fe65fded5fd01ea2bcf4463f03de31870040c02a;hb=HEAD
На строке 194 начинается функция verify_authorization_code, на которой и обрывается процесс. Видим там такой код:

// Exchange the code with a token.
let token_response = self
    .client
    .exchange_code(code)
    .set_pkce_verifier(private_auth_state.pkce_verifier())
    .request(http_client)
    .map_err(|err| format_err!("Failed to contact token endpoint: {}", err))?; 

Где-то здесь оно и падает. Толи не может адекватно распарсить полученный ответ, толи что-то с HTTP клиентом. format_err намекает, что json-нина ему не нравится, но вот что именно в ней не так - не понятно.
Comment 1 Andrew Vasilyev 2025-02-09 23:30:38 MSK 
(Ответ для Andrey Limachko на комментарий #0)
> Сервер с PVE:
> pve-manager-8.3.1-alt1.x86_64

  А если обновить до pve-manager-8.3.1-alt2 ?
Comment 2 Andrey Limachko 2025-02-09 23:39:45 MSK 
Отбой тревоги. Все работает.

Я в настройках Authentik добавил лишнюю опцию. В настройках провайдера есть две опции: Signing Key и Encryption Key. Так вот, Rust модуль зашифрованный токен не понимает, да и не очень понятно, чем его нужно расшифровывать. В общем, оставляем поле пустым и все заработает.