Proxmox VE: Warnung „ignore invalid acl token“ nach dem Löschen von Access Tokens Zusammenfassung Nach dem Löschen eines Access Tokens oder eines Benutzers in der Proxmox-GUI kann beim Zugriff auf Container oder VMs (z. B. mittels pct enter oder qm enter ) folgende Warnmeldung erscheinen: user config - ignore invalid acl token 'user@realm!tokenname' Diese Meldung ist harmlos, weist jedoch auf verwaiste Token-Einträge in der Proxmox-Konfiguration hin und sollte bereinigt werden. Der Text hier benutzt homepage@pam!homepage-192-168-10-110 als Beispielname. Symptome Die Warnung erscheint bei: pct enter qm enter teilweise auch bei API-Zugriffen Die betroffenen Container oder VMs funktionieren weiterhin normal pvesh get /access/acl zeigt keine fehlerhaften ACL-Einträge an Ursache Proxmox speichert Benutzer, Tokens und ACLs zentral in der Cluster-Konfigurationsdatei: /etc/pve/user.cfg Wichtiger Punkt (GUI-Verhalten) Beim Löschen eines Users oder Access Tokens in der GUI werden zugehörige ACL-Einträge oder Token-Definitionen nicht automatisch vollständig entfernt. Das führt zu folgendem Zustand: Der User oder Token wurde in der GUI gelöscht In user.cfg existiert jedoch weiterhin ein token: -Eintrag Beim Laden der Benutzerkonfiguration erkennt Proxmox den Token nicht mehr korrekt Ergebnis: die Warnung „ignore invalid acl token“ Die Meldung ist irreführend, da sie nicht zwingend ein ACL-Problem ist, sondern ein Konfigurationsartefakt . Diagnose ACLs prüfen pvesh get /access/acl Wenn dort kein Eintrag mit dem genannten Token erscheint, liegt das Problem sehr wahrscheinlich in user.cfg . Token-Einträge suchen grep '^token:' /etc/pve/user.cfg Oder gezielt: grep 'homepage@pam' /etc/pve/user.cfg Lösung (empfohlen) 1. Benutzerkonfiguration bearbeiten nano /etc/pve/user.cfg 2. Verwaisten Token entfernen Einen Eintrag dieser Art vollständig löschen : token:homepage@pam!homepage-192-168-10-110:privsep=1: ⚠️ Nur den betroffenen token: -Eintrag entfernen , keine anderen Benutzer-, Rollen- oder ACL-Zeilen. 3. Dienste neu laden systemctl restart pve-cluster pvedaemon pveproxy Die Änderung wird clusterweit sofort wirksam (pmxcfs). 4. Verifikation pct enter Die Warnmeldung sollte nicht mehr erscheinen. Best Practices / Prävention Tokens vor dem Löschen eines Users entfernen ACL-Zuweisungen vor dem Token-Löschen prüfen Nach umfangreichen Änderungen an Usern/Tokens: grep '^token:' /etc/pve/user.cfg Bei Automatisierung bevorzugt API / pvesh nutzen statt ausschließlich die GUI Hinweis Das manuelle Bearbeiten von /etc/pve/user.cfg ist in diesem Fall zulässig und sicher , da es sich um eine vom Cluster-Dateisystem verwaltete Konfigurationsdatei handelt. Änderungen werden sofort synchronisiert.