В одной из своих предыдущий статей я уже рассказывал о том, как выполняется типовая установка Zabbix. Zabbix поддерживает несколько типов аутентификации: локальная (используется по умолчанию), LDAP, HTTP и SAML. В этой публикации я расскажу о том, как выполняется настройка LDAP аутентификации в Zabbix.
В качестве сервера LDAP я буду использовать Microsoft Active Directory. Версия Zabbix на момент подготовки публикации – Zabbix 6.4.8.
Настройка LDAP аутентификации в Zabbix
Настройку я буду выполнять основываясь на официальном руководстве от Zabbix.
Перед началом настройки LDAP аутентификации нужно выполнить одной действие в Active Directory – создать пользователя, от имени которого Zabbix будет выполнять подключение к AD для проверки наличия пользователя. Настоятельно рекомендую создавать отдельного рядового пользователя домена без каких-либо расширенных привилегий.
Поэтому самым первым шагом я создам отдельного пользователя в Active Directory:
Добавление сервера LDAP
Теперь перейдем к настройкам на стороне сервера Zabbix. Что нужно сделать:
1. Перейти к меню настроек аутентификации пользователей – “Users” – “Authentication”.
2. На вкладке “Authentication” я оставлю режим аутентификации по умолчанию “Internal”. Это нужно для того, чтобы локальные пользователи Zabbix могли продолжать выполнять аутентификацию. Если вы установите значение переключателя в режим “LDAP”, то у вас будет работать только LDAP аутентификация, локальная аутентификация работать не будет.
3. Перейдите на вкладку “LDAP settings”.
4. Включите LDAP аутентификацию и нажмите кнопку для добавления сервера LDAP, к которому сервер Zabbix будет обращаться для проверки аутентификации.
5. Укажите параметры подключения к серверу, как показано на скриншоте ниже.
Ниже я приведу сводную таблицу с описанием основных параметров.
Параметр | Описание |
Name | Название подключения. Можете указать любое имя. Я обычно указываю имя контроллера AD |
Host | IP-адрес или DNS имя контроллера |
Port | 389 |
Base DN | Путь в иерархии AD в дереве которого будет осуществляться поиск пользователя |
Search attribute | Для Active Directory это атрибут sAMAccountName. Для OpenLDAP атрибут – uid |
Bind DN | Различаемое имя пользователя, от имени которого сервер Zabbix будет обращаться к AD для получения поиска пользователя |
Bind password | Пароль пользователя |
6. В этом же диалоговом окне вы можете нажать кнопку “Test” и выполнить проверку аутентификации. В случае успешной аутентификации вы увидите соответствующее сообщение, как показано на скриншоте ниже.
7. Сохраните внесенные изменения.
Добавление пользоватлей
Важный момент – для того, чтобы LDAP аутентификация заработала корректно для пользователя его необходимо предварительно создать в Zabbix.
Теперь создадим пользователя в Zabbix:
1. Перейдите в раздел “Users” – “Users”.
2. В поле “Username” укажите значение атрибута samaccountname пользователя из Active Directory. В поле “Name” укажите имя пользователя, как оно будет отображаться в Zabbix. Также укажите пароль. Пароль можно указать любой, который соответствует политике беопасности паролей Zabbix. Для аутентификации в любом случае будет использователя пароль пользователя из AD.
3. На вкладке с разрешениями укажите роль пользователя.
4. Сохраните внесенные изменения.
Этот шаг необходимо выполнить для каждого пользователя.
Настройка режима аутентификации
Поскольку настройку режима аутентификации по умолчанию можно выполнить на основе групп, то я создать отдельную группу и укажу в параметрах группы, что для всех её участников должна выполняться проверка подлинности через LDAP:
1. Перейдите в раздел “Users” – “User groups”.
2. Укажите любое произвольное имя для группы, укажите участников группы. Самое важное – укажите тип аутентфикации для доступа к интерфейсу Zabbix – LDAP.
3. Подтвердите внесенные изменения.
Проверка LDAP аутентификации
Заключительный шаг – это проверка работы LDAP аутентификации. Переходим на страницу веб интерфейса Zabbix и указываем логин (samaccountname) и пароль из AD. Домен указывать не нужно.
В случае успешной аутентификации и авторизации вы сможете войти в веб интерфейс от имени доменной учетной записи. В профиле вы можете посмотреть более детальную информацию об учетной записи.
Настройка LDAP аутентификации в Zabbix завершена.