Настроить аутентификацию в Zabbix через Active Directory

Posted by

Цель: Хочу чтобы в систему мониторинга Zabbix доступ был только с использованием связки Zabbix и Active Directory. Огромный плюс вижу для себя, не нужно запоминать кучу паролей и помнить логины туда и логины сюда.

Что есть в наличии:

  • Домен = polygon.local развернутый на базе Windows Server 2012 R2
  • Mikrotik — для выхода сети в интернет развернутый по заметке
  • Zabbix сервер на Server развернутый по заметке

Нужно чтобы аутентификация в системе мониторинга Zabbix происходила при использовании доменной учетной записи.

Переключаюсь (Физическое подключение or RDP соединение, или VNC соединение) на домен контроллер (srv-dc.polygon.local) и в оснастке: Win + X — Панель управления — Администрирование — Пользователи и компьютеры Active Directory создаю специализированного пользователя (ldapzabbix) от имени которого будет вестись аутентификация сервисом Zabbix в Active Directory домена polygon.local. Прав для этого действа хватит только Domain Users, т. е. Только для чтения.

  • Login: ldapzabbix
  • Pass: 612mbddr@

Пароль ни когда не истекает.

После открываю браузер и открываю URL ссылку где указываю адрес развернутого сервиса мониторинга Zabbix: http://10.10.10.11/zabbix/, авторизуюсь под дефолтными данными:

  • Login: Admin
  • Pass: zabbix

и изменяю тип аутентификации:

Administration — Users — Create user

вкладка User:

  • Alias: ldapzabbix
  • Name: ldapzabbix
  • Surname: ldapzabbix
  • GroupsAdd — отмечаю галочкой «Zabbix administrators» и нажимаю кнопку Select
  • Password: 612mbddr@
  • Password (once again): 612mbddr@
  • Language: English (en_US)

после переключаюсь на вкладку Permissions

  • User type: Zabbix Super Admin
  • Permissons: Host group (All groups), Permissions (Read-write)

и после нажимаю Add

Теперь нужно сделать Logoff/Logon в сервисе мониторинга Zabbix, но Logon произвести под новосозданной учетной записью с данными аналогичными пользователю заведенному в Active Directory. Затем перенастраиваем тип аутентификации в Zabbix“ксе:

Administration — Authentication

По умолчанию настройка: Default authentication (Internal)

изменяю на: Default Authenticaton (LDAP)

  • LDAP host: srv-dc.polygon.local
  • Port: 389
  • Base DN: dc=polygon,dc=local
  • Search attribute: sAMAccountName
  • Bind DN: CN=ldapzabbix,OU=IT,DC=polygon,DC=local
  • Bind password: 612mbddr@
  • Test authentication: [must be a valid LDAP user]
  • Login: ldapzabbix
  • User password: 612mbddr@

и нажимаю Test, сообщение проверки должно быть таким «LDAP login successful», если это так, то снова вбиваем пароль в поля: Bind password и User password и нажимаем кнопку Update, сообщение проверки должно быть таким «Authentication method changed to LDAP».

Теперь когда перенастроена аутентификация на LDAP аутентификацию в систему мониторинга зайти можно будет только с ее помощью и тем кому Вы предоставите такую возможность.

Делаю Logoff, а потом авторизуюсь уже с использованием доменной аутентификации:

  • Username: ldapzabbix
  • Password: 612mbddr@

и нажимаю Sign in

Итого, у меня в домене административная учетная запись с логином ekzorchik и я хочу под ней авторизовываться в системе мониторинга Zabbix мои действия чтобы это настроить:

Administration — Users — Create user и создаю в Zabbix точно такую же учетную запись с таким же паролем, как и в Active Directory.

На заметку: Аутентификация в Zabbix и Active Directory работает как ассоциация учетной записи, т. е. Если в AD есть учетка, а в Zabbix нет доступа не получите.

Вкладка User:

  • Alias: ekzorchik
  • Name: ekzorchik
  • Last name: ekzorchik
  • GroupsAdd — отмечаю галочкой «Zabbix administrators» и нажимаю кнопку Select
  • Password: ничего не указываю
  • Language: English (en_US)

потом переключаюсь на вкладку Permissions

User type: выставляю права группы Zabbix Super Admin

и нажимаю Add, проверяю смогу ли я авторизоваться на сервисе Zabbix с использованием своей доменной административной учетной записью ekzorchik.

И да! Авторизация прошла успешно. Теперь еще один сервис завязан на управление из единого места, а не по рознь, так свой логин и пароль тут свой. Все должно быть централизованно. Ладно я для себя сделал шпаргалку действий и теперь прощаюсь, но новых встреч на моем блоге, с уважением автор блога Олло Александр aka ekzorchik.