Настройка LDAP аутентификации в Zabbix

В одной из предыдущий статей уже рассказано о том, как выполняется типовая установка Zabbix. Zabbix поддерживает несколько типов аутентификации: локальная (используется по умолчанию), LDAP, HTTP и SAML. В этой публикации рассказано о том, как выполняется настройка LDAP аутентификации в Zabbix.

В качестве сервера LDAP будет использоваться Microsoft Active Directory. Версия Zabbix на момент подготовки публикации – Zabbix 6.4.8.

Настройка LDAP аутентификации в Zabbix

Настройка будет выполняться основываясь на официальном руководстве от Zabbix.

Перед началом настройки LDAP аутентификации нужно выполнить одно действие в Active Directory – создать пользователя, от имени которого Zabbix будет выполнять подключение к AD для проверки наличия пользователя. Настоятельно рекомендуется создавать отдельного рядового пользователя домена без каких-либо расширенных привилегий.

Поэтому самым первым шагом создадим отдельного пользователя в Active Directory:

Добавление сервера LDAP

Теперь перейдем к настройкам на стороне сервера Zabbix. Что нужно сделать:

1. Перейти к меню настроек аутентификации пользователей – “Users” – “Authentication”.

2. На вкладке “Authentication” оставляем режим аутентификации по умолчанию “Internal”. Это нужно для того, чтобы локальные пользователи Zabbix могли продолжать выполнять аутентификацию. Если вы установите значение переключателя в режим “LDAP”, то у вас будет работать только LDAP аутентификация, локальная аутентификация работать не будет.

3. Перейдите на вкладку “LDAP settings”.

4. Включите LDAP аутентификацию и нажмите кнопку для добавления сервера LDAP, к которому сервер Zabbix будет обращаться для проверки аутентификации.

5. Укажите параметры подключения к серверу, как показано на скриншоте ниже.

Ниже приведена сводную таблицу с описанием основных параметров.

6. В этом же диалоговом окне вы можете нажать кнопку “Test” и выполнить проверку аутентификации. В случае успешной аутентификации вы увидите соответствующее сообщение, как показано на скриншоте ниже.

7. Сохраните внесенные изменения.

Добавление пользователей

Важный момент – для того, чтобы LDAP аутентификация заработала корректно для пользователя его необходимо предварительно создать в Zabbix.

Теперь создадим пользователя в Zabbix:

1. Перейдите в раздел “Users” – “Users”.

2. В поле “Username” укажите значение атрибута samaccountname пользователя из Active Directory. В поле “Name” укажите имя пользователя, как оно будет отображаться в Zabbix. Также укажите пароль. Пароль можно указать любой, который соответствует политике безопасности паролей Zabbix. Для аутентификации в любом случае будет использоваться пароль пользователя из AD.

3. На вкладке с разрешениями укажите роль пользователя.

4. Сохраните внесенные изменения.

Этот шаг необходимо выполнить для каждого пользователя.

Настройка режима аутентификации

Поскольку настройку режима аутентификации по умолчанию можно выполнить на основе групп, то создадим отдельную группу и укажем в параметрах группы, что для всех её участников должна выполняться проверка подлинности через LDAP:

1. Перейдите в раздел “Users” – “User groups”.

2. Укажите любое произвольное имя для группы, укажите участников группы. Самое важное – укажите тип аутентификации для доступа к интерфейсу Zabbix – LDAP.

3. Подтвердите внесенные изменения.

Проверка LDAP аутентификации

Заключительный шаг – это проверка работы LDAP аутентификации. Переходим на страницу веб интерфейса Zabbix и указываем логин (samaccountname) и пароль из AD. Домен указывать не нужно.

В случае успешной аутентификации и авторизации вы сможете войти в веб интерфейс от имени доменной учетной записи. В профиле вы можете посмотреть более детальную информацию об учетной записи.

Настройка LDAP аутентификации в Zabbix завершена.