Настройка LDAP аутентификации в Zabbix

В одной из своих предыдущий статей я уже рассказывал о том, как выполняется типовая установка Zabbix. Zabbix поддерживает несколько типов аутентификации: локальная (используется по умолчанию), LDAP, HTTP и SAML. В этой публикации я расскажу о том, как выполняется настройка LDAP аутентификации в Zabbix.

В качестве сервера LDAP я буду использовать Microsoft Active Directory. Версия Zabbix на момент подготовки публикации – Zabbix 6.4.8.

Настройка LDAP аутентификации в Zabbix

Настройку я буду выполнять основываясь на официальном руководстве от Zabbix.

Перед началом настройки LDAP аутентификации нужно выполнить одной действие в Active Directory – создать пользователя, от имени которого Zabbix будет выполнять подключение к AD для проверки наличия пользователя. Настоятельно рекомендую создавать отдельного рядового пользователя домена без каких-либо расширенных привилегий.

Поэтому самым первым шагом я создам отдельного пользователя в Active Directory:

Добавление сервера LDAP

Теперь перейдем к настройкам на стороне сервера Zabbix. Что нужно сделать:

1. Перейти к меню настроек аутентификации пользователей – “Users” – “Authentication”.

2. На вкладке “Authentication” я оставлю режим аутентификации по умолчанию “Internal”. Это нужно для того, чтобы локальные пользователи Zabbix могли продолжать выполнять аутентификацию. Если вы установите значение переключателя в режим “LDAP”, то у вас будет работать только LDAP аутентификация, локальная аутентификация работать не будет.

3. Перейдите на вкладку “LDAP settings”.

4. Включите LDAP аутентификацию и нажмите кнопку для добавления сервера LDAP, к которому сервер Zabbix будет обращаться для проверки аутентификации.

5. Укажите параметры подключения к серверу, как показано на скриншоте ниже.

Ниже я приведу сводную таблицу с описанием основных параметров.

ПараметрОписание
NameНазвание подключения. Можете указать любое имя. Я обычно указываю имя контроллера AD
HostIP-адрес или DNS имя контроллера
Port389
Base DNПуть в иерархии AD в дереве которого будет осуществляться поиск пользователя
Search attributeДля Active Directory это атрибут sAMAccountName. Для OpenLDAP атрибут – uid
Bind DNРазличаемое имя пользователя, от имени которого сервер Zabbix будет обращаться к AD для получения поиска пользователя
Bind passwordПароль пользователя

6. В этом же диалоговом окне вы можете нажать кнопку “Test” и выполнить проверку аутентификации. В случае успешной аутентификации вы увидите соответствующее сообщение, как показано на скриншоте ниже.

7. Сохраните внесенные изменения.

Добавление пользоватлей

Важный момент – для того, чтобы LDAP аутентификация заработала корректно для пользователя его необходимо предварительно создать в Zabbix.

Теперь создадим пользователя в Zabbix:

1. Перейдите в раздел “Users” – “Users”.

2. В поле “Username” укажите значение атрибута samaccountname пользователя из Active Directory. В поле “Name” укажите имя пользователя, как оно будет отображаться в Zabbix. Также укажите пароль. Пароль можно указать любой, который соответствует политике беопасности паролей Zabbix. Для аутентификации в любом случае будет использователя пароль пользователя из AD.

3. На вкладке с разрешениями укажите роль пользователя.

4. Сохраните внесенные изменения.

Этот шаг необходимо выполнить для каждого пользователя.

Настройка режима аутентификации

Поскольку настройку режима аутентификации по умолчанию можно выполнить на основе групп, то я создать отдельную группу и укажу в параметрах группы, что для всех её участников должна выполняться проверка подлинности через LDAP:

1. Перейдите в раздел “Users” – “User groups”.

2. Укажите любое произвольное имя для группы, укажите участников группы. Самое важное – укажите тип аутентфикации для доступа к интерфейсу Zabbix – LDAP.

3. Подтвердите внесенные изменения.

Проверка LDAP аутентификации

Заключительный шаг – это проверка работы LDAP аутентификации. Переходим на страницу веб интерфейса Zabbix и указываем логин (samaccountname) и пароль из AD. Домен указывать не нужно.

В случае успешной аутентификации и авторизации вы сможете войти в веб интерфейс от имени доменной учетной записи. В профиле вы можете посмотреть более детальную информацию об учетной записи.

Настройка LDAP аутентификации в Zabbix завершена.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *