Zabbix/AD-auth: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Нет описания правки
 
Строка 38: Строка 38:
[[Категория:Web]]
[[Категория:Web]]
[[Категория:Active Directory]]
[[Категория:Active Directory]]
{{Category navigation|title=Zabbix|category=ZABBIX|sortkey={{SUBPAGENAME}}}}

Текущая версия от 20:24, 20 июня 2023

Интеграция Zabbix с Active Directory

  1. Каждый пользователь домена, который будет пользоваться Zabbix, должен существовать в Zabbix. Для этого достаточно создать в Zabbix пользователей с таким же логином, как и в домене.
  2. Создать в Active Directory отдельного пользователя, через которого будет выполняться привязка Zabbix к домену. Можно использовать любой доменный аккаунт или можно создать выделенный служебный аккаунт.
  3. Настроить LDAP аутентификацию на Zabbix. Для этого в веб-интерфейсе перейти в «Администрирование» -> «Аутентификация» вкладка «Настройки LDAP» и настроить параметры конфигурации:
    Настройка LDAP аутентификации на Zabbix
  4. Проверить правильность введённых данных, выполнив тестовое подключение. Если тест пройден успешно, сохранить настройки, нажав кнопку «Обновить».
  5. Перейти вкладку «Аутентификация» и в строке «Аутентификация по умолчанию» выбрать пункт «LDAP» и нажать кнопку «Обновить»:
    Выбор типа аутентификации по умолчанию в Zabbix
Примечание: В случае если AD не доступен, то авторизоваться в Zabbix не получится. Чтобы переключиться обратно на внутреннею аутентификацию, необходимо в БД изменить параметр authentication_type. Например: 
$ mysql -u root -p
MariaDB [(none)]> UPDATE `zabbix`.`config` SET `authentication_type` = '0' WHERE `config`.`configid` =1;
Теперь можно авторизоваться с помощью учетной записи которая была создана при установке Zabbix.


Настройка прозрачной (SSO) аутентификации в Zabbix

  1. Для работы прозрачной аутентификации (Single Sign On) на Zabbix сервере, необходимо создать пользователей с именами доменных пользователей, указав группы и привилегии.
  2. Настроить на веб-сервере доменную аутентификацию (Apache, Nginx). Пример, настройки файла /etc/httpd2/conf/addon.d/A.zabbix.conf для веб-сервера Apache: 
    Alias /zabbix /var/www/webapps/zabbix/ui

<Directory "/var/www/webapps/zabbix">
        Options FollowSymLinks
        AllowOverride AuthConfig Limit
        AuthType GSSAPI
        AuthName "GSSAPI Login"
        #GssapiBasicAuth On
        GssapiCredStore keytab:/etc/httpd2/conf/httpd.keytab
        GssapiAllowedMech krb5
        Require valid-user
        #Require all granted
</Directory>
  3. Настроить браузер для поддержки SSO
  4. В настройках ZABBIX указать, что нужно использовать HTTP аутентификацию. Для этого в веб-интерфейсе перейти в «Администрирование» -> «Аутентификация» вкладка «Настройки HTTP» и указать параметры и нажать кнопку «Обновить»:
    Настройка HTTP аутентификации в Zabbix
  5. Теперь при входе в ZABBIX, идентификационные данные будут браться на основе текущего пользователя авторизованного в системе.
Zabbix