В одной из своих предыдущий статей я уже рассказывал о том, как выполняется типовая установка Zabbix. Zabbix поддерживает несколько типов аутентификации: локальная (используется по умолчанию), LDAP, HTTP и SAML. В этой публикации я расскажу о том, как выполняется настройка LDAP аутентификации в Zabbix.
В качестве сервера LDAP я буду использовать Microsoft Active Directory. Версия Zabbix на момент подготовки публикации — Zabbix 6.4.8.
Настройка LDAP аутентификации в Zabbix
Настройку я буду выполнять основываясь на официальном руководстве от Zabbix.
Перед началом настройки LDAP аутентификации нужно выполнить одной действие в Active Directory — создать пользователя, от имени которого Zabbix будет выполнять подключение к AD для проверки наличия пользователя. Настоятельно рекомендую создавать отдельного рядового пользователя домена без каких-либо расширенных привилегий.
Поэтому самым первым шагом я создам отдельного пользователя в Active Directory:
Добавление сервера LDAP
Теперь перейдем к настройкам на стороне сервера Zabbix. Что нужно сделать:
1. Перейти к меню настроек аутентификации пользователей — «Users» — «Authentication».
2. На вкладке «Authentication» я оставлю режим аутентификации по умолчанию «Internal». Это нужно для того, чтобы локальные пользователи Zabbix могли продолжать выполнять аутентификацию. Если вы установите значение переключателя в режим «LDAP», то у вас будет работать только LDAP аутентификация, локальная аутентификация работать не будет.
3. Перейдите на вкладку «LDAP settings».
4. Включите LDAP аутентификацию и нажмите кнопку для добавления сервера LDAP, к которому сервер Zabbix будет обращаться для проверки аутентификации.
5. Укажите параметры подключения к серверу, как показано на скриншоте ниже.
Ниже я приведу сводную таблицу с описанием основных параметров.
| Параметр | Описание |
| Name | Название подключения. Можете указать любое имя. Я обычно указываю имя контроллера AD |
| Host | IP-адрес или DNS имя контроллера |
| Port | 389 |
| Base DN | Путь в иерархии AD в дереве которого будет осуществляться поиск пользователя |
| Search attribute | Для Active Directory это атрибут sAMAccountName. Для OpenLDAP атрибут — uid |
| Bind DN | Различаемое имя пользователя, от имени которого сервер Zabbix будет обращаться к AD для получения поиска пользователя |
| Bind password | Пароль пользователя |
6. В этом же диалоговом окне вы можете нажать кнопку «Test» и выполнить проверку аутентификации. В случае успешной аутентификации вы увидите соответствующее сообщение, как показано на скриншоте ниже.
7. Сохраните внесенные изменения.
Добавление пользоватлей
Важный момент — для того, чтобы LDAP аутентификация заработала корректно для пользователя его необходимо предварительно создать в Zabbix.
Теперь создадим пользователя в Zabbix:
1. Перейдите в раздел «Users» — «Users».
2. В поле «Username» укажите значение атрибута samaccountname пользователя из Active Directory. В поле «Name» укажите имя пользователя, как оно будет отображаться в Zabbix. Также укажите пароль. Пароль можно указать любой, который соответствует политике беопасности паролей Zabbix. Для аутентификации в любом случае будет использователя пароль пользователя из AD.
3. На вкладке с разрешениями укажите роль пользователя.
4. Сохраните внесенные изменения.
Этот шаг необходимо выполнить для каждого пользователя.
Настройка режима аутентификации
Поскольку настройку режима аутентификации по умолчанию можно выполнить на основе групп, то я создам отдельную группу и укажу в параметрах группы, что для всех её участников должна выполняться проверка подлинности через LDAP:
1. Перейдите в раздел «Users» — «User groups».
2. Укажите любое произвольное имя для группы, укажите участников группы. Самое важное — укажите тип аутентфикации для доступа к интерфейсу Zabbix — LDAP.
3. Подтвердите внесенные изменения.
Проверка LDAP аутентификации
Заключительный шаг — это проверка работы LDAP аутентификации. Переходим на страницу веб интерфейса Zabbix и указываем логин (samaccountname) и пароль из AD. Домен указывать не нужно.
В случае успешной аутентификации и авторизации вы сможете войти в веб интерфейс от имени доменной учетной записи. В профиле вы можете посмотреть более детальную информацию об учетной записи.
Настройка LDAP аутентификации в Zabbix завершена.
Настройка LDAP аутентификации в Zabbix: 2 комментария
Добрейшего!
Включил аутентификацию LDAP, ввёл параметры сервера. По кнопке «Тест» проверка проходит успешно.
Далее создал пользователей, добавил их в группу, изменил для группы режим доступа на LDAP. Сервер LDAP указывал как по умолчанию, так и явно настроенный.
Войти под пользователем из LDAP (AD) не удаётся.
Почему так? И как это можно исправить?
Добрый день! Попробуйте посмотреть что пишется в журнал — /var/log/zabbix/zabbix_server.log