Интеграция Zabbix с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

Разберем как интегрировать Zabbix с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

 

Исходные данные:

  • Развернутая система Zabbix 4.0 (по этой статье)
  • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

 

Для интеграции Zabbix с Active Directory, необходимо создать пользователя который будет выступать администратором Zabbix и с помощью которого будет осуществляться чтение LDAP, для авторизации пользователей системы Zabbix.

 

Создание пользователя в Active Directory

Создаем пользователя (прим. zabbix), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

 

Интеграция Zabbix с Active Directory

В ZABBIX необходимо создать пользователя с аналогичными данными от ранее созданного пользователя в Active Directory (zabbix). Переходим АдминистрированиеПользователи, нажимаем Создать пользователя:

 

Псевдоним и Имя указываем (zabbix). Добавляем пользователя в группу Zabbix administrators:

 

Переходим во вкладку Права доступа. В поле Тип пользователя указываем Zabbix Супер Администратор. Нажимаем Добавить.

 

 

Выполним конфигурацию связи ZABBIX с Active Directory. Переходим в АдминистрированиеАутентификация, нажимаем на вкладку Настройки LDAP.

 

Заполняем поля по аналогии, как на скриншоте:

Узнать как правильно написать «Имя для подключения (Bind DN), можно выполнив команду в командной строке на домен контроллере: dsquery user -name zabbix

 

Для проверки правильности введенных данных в настройки LDAP, выполним тестовое подключение под пользователем zabbix, вводим Логин (zabbix) и пароль, нажимаем Тест. В случае правильности система выдаст сообщение об успешном подключении:

 

 

 

Перейдем на вкладку Аутентификация и укажем параметр аутентификации по-умолчанию (LDAP) и нажимаем Обновить

 

На этом настройка аутентификации в Zabbix через Active Directory завершена.

 

Для того чтобы пользователи могли для авторизации могли использовать свои учетные данные Active Directory, их необходимо сперва создать в Zabbix, с аналогичными данными (Логин\Пароль) как в Active Directory.

 

Прозрачная аутентификация SSO (Single Sign On)

Реализацию прозрачной/сквозной (SSO) аутентификации в ZABBIX, будем осуществлять посредством авторизации Apache в Active Directory.

 

Выполняем настройку авторизации SSO на Apache в Active Directory по этой статье. При создании KEYTAB-файла, используем созданную ранее учетную запись администратора (zabbix).

 

Для настройка сайта ZABBIX, на использование Kerberos аутентификации, отредактируем файл:

nano /etc/apache2/conf-available/zabbix.conf

 

Добавим после блока:

<IfModule mod_alias.c>
 Alias /zabbix /usr/share/zabbix
</IfModule>

 

Следующий блок с параметрами Kerberos авторизации:

<Location /zabbix>
 AuthType Kerberos
 AuthName "Kerberos Authenticated"
 KrbAuthRealms JAKONDA.LOCAL
 KrbServiceName HTTP/zabbix.JAKONDA.local
 Krb5Keytab /etc/zabbix.keytab
 KrbMethodNegotiate On
 KrbLocalUserMapping On
 Require valid-user
</Location>

 

Перезапускаем веб-сервер apache:

service apache2 restart

 

Теперь в настройках ZABBIX, необходимо указать что нужно использовать HTTP аутентификацию. Переходим в Администрирование — Аутентификация, вкладка Настройки HTTP.

 

Выставляем параметры, как на скриншоте ниже, нажимаем «Обновить«:

 

На этом SSO (Single Sign On) настройка завершена. Теперь при входе в ZABBIX, идентификационные данные будут браться на основе текущего авторизованного пользователя в системе.

 

Хочу обратить внимание, что для корректной работы SSO, необходимо добавить в доверенные узлы местной интрасети, сайт ZABBIX (прим. http://zabbix).

 

Восстановление режима внутренней аутентификации на Zabbix-сервере

В случае если Active Directory не доступен, то авторизоваться в ZABBIX не получится. Для того чтобы восстановить доступ В ZABBIX, необходимо переключить режим аутентификации с LDAP на Внутреннюю.

 

Сделать это можно, изменив параметр в базе данных. Входим в MySQL и выполняем команду:

mysql -u root -p

UPDATE `zabbix`.`config` SET `authentication_type` = '0' WHERE `config`.`configid` =1;

 

Теперь можно авторизоваться с помощью учетной записи которая была создана при установке Zabbix. По-умолчанию Логин/пароль — Admin/zabbix

 

Понравилась или оказалась полезной статья, поблагодари автора

 

БесполезноСлабоватоПриемлемоОтличноПревосходно (3 голос(ов), в среднем: 3,67 из 5)
Загрузка...

Всего комментариев: 2 Комментировать

  1. Никита /

    А еще путь может быть
    CN=zabbix,CN=Users,DC=домен,DC=local

    1. Жаконда / Автор записи

      Он может и должен быть, такой как он есть в текущей AD среде.

Оставить ответ

9 − три =