Цель: Хочу чтобы в систему мониторинга Zabbix доступ был только с использованием связки Zabbix и Active Directory. Огромный плюс вижу для себя, не нужно запоминать кучу паролей и помнить логины туда и логины сюда.
Что есть в наличии:
- Домен = polygon.local развернутый на базе Windows Server 2012 R2
- Mikrotik — для выхода сети в интернет развернутый по заметке
- Zabbix сервер на Ubuntu 16.04 Server развернутый по заметке
Нужно чтобы аутентификация в системе мониторинга Zabbix происходила при использовании доменной учетной записи.
Переключаюсь (Физическое подключение or RDP соединение, или VNC соединение) на домен контроллер (srv-dc.polygon.local) и в оснастке: Win + X — Панель управления — Администрирование — Пользователи и компьютеры Active Directory создаю специализированного пользователя (ldapzabbix) от имени которого будет вестись аутентификация сервисом Zabbix в Active Directory домена polygon.local. Прав для этого действа хватит только Domain Users, т. е. Только для чтения.
- Login: ldapzabbix
- Pass: 612mbddr@
Пароль ни когда не истекает.
После открываю браузер и открываю URL ссылку где указываю адрес развернутого сервиса мониторинга Zabbix: http://10.10.10.11/zabbix/, авторизуюсь под дефолтными данными:
- Login: Admin
- Pass: zabbix
и изменяю тип аутентификации:
Administration — Users — Create user
вкладка User:
- Alias: ldapzabbix
- Name: ldapzabbix
- Surname: ldapzabbix
- Groups — Add — отмечаю галочкой «Zabbix administrators» и нажимаю кнопку Select
- Password: 612mbddr@
- Password (once again): 612mbddr@
- Language: English (en_US)
после переключаюсь на вкладку Permissions
- User type: Zabbix Super Admin
- Permissons: Host group (All groups), Permissions (Read-write)
и после нажимаю Add
Теперь нужно сделать Logoff/Logon в сервисе мониторинга Zabbix, но Logon произвести под новосозданной учетной записью с данными аналогичными пользователю заведенному в Active Directory. Затем перенастраиваем тип аутентификации в Zabbix“ксе:
Administration – Authentication
По умолчанию настройка: Default authentication (Internal)
изменяю на: Default Authenticaton (LDAP)
- LDAP host: srv-dc.polygon.local
- Port: 389
- Base DN: dc=polygon,dc=local
- Search attribute: sAMAccountName
- Bind DN: CN=ldapzabbix,OU=IT,DC=polygon,DC=local
- Bind password: 612mbddr@
- Test authentication: [must be a valid LDAP user]
- Login: ldapzabbix
- User password: 612mbddr@
и нажимаю Test, сообщение проверки должно быть таким «LDAP login successful», если это так, то снова вбиваем пароль в поля: Bind password и User password и нажимаем кнопку Update, сообщение проверки должно быть таким «Authentication method changed to LDAP».
Теперь когда перенастроена аутентификация на LDAP аутентификацию в систему мониторинга зайти можно будет только с ее помощью и тем кому Вы предоставите такую возможность.
Делаю Logoff, а потом авторизуюсь уже с использованием доменной аутентификации:
- Username: ldapzabbix
- Password: 612mbddr@
и нажимаю Sign in
Итого, у меня в домене административная учетная запись с логином ekzorchik и я хочу под ней авторизовываться в системе мониторинга Zabbix мои действия чтобы это настроить:
Administration — Users — Create user и создаю в Zabbix точно такую же учетную запись с таким же паролем, как и в Active Directory.
На заметку: Аутентификация в Zabbix и Active Directory работает как ассоциация учетной записи, т. е. Если в AD есть учетка, а в Zabbix нет доступа не получите.
Вкладка User:
- Alias: ekzorchik
- Name: ekzorchik
- Last name: ekzorchik
- Groups – Add — отмечаю галочкой «Zabbix administrators» и нажимаю кнопку Select
- Password: ничего не указываю
- Language: English (en_US)
потом переключаюсь на вкладку Permissions
User type: выставляю права группы Zabbix Super Admin
и нажимаю Add, проверяю смогу ли я авторизоваться на сервисе Zabbix с использованием своей доменной административной учетной записью ekzorchik.
И да! Авторизация прошла успешно. Теперь еще один сервис завязан на управление из единого места, а не по рознь, так свой логин и пароль тут свой. Все должно быть централизованно. Ладно я для себя сделал шпаргалку действий и теперь прощаюсь, но новых встреч на моем блоге, с уважением автор блога Олло Александр aka ekzorchik.