Zabbix默认的认证方式是本地内部认证,也就是在zabbix前端创建的用户。Zabbix默认有四种认证方式,分别是internal、http、LDAP、SAML(SSO单点登录认证)。其中,http使用的是web服务本身提供的认证,不再赘述。正文本文环境为Zabbix6.0LTSRC2Windows2019域控版本2016AD。安装部分这里就不过多讨论了。具体可以参考互联网相关资源。很多公司都不需要配置OU和用户这一步。如果环境有这一步,请忽略1.Win+R打开运行,输入mmc,打开控制台,点击文件选项2,找到添加/删除管理单元3,选择ActiveDirectory用户和计算机,点击添加,最后确认4、找到根域,如下图,右击根域,在弹出的菜单中选择新建->组织单位,填写名称。本文为zabbix5。点击刚刚创建的OU,在右侧空白处右击或者在OU上右击,在弹出的菜单中选择新建->用户。在密码选项中,这里很多公司的安全要求不允许密码永不过期的策略,所以具体情况具体分析,这里方便演示,用户不更改密码永不过期。填写用户信息6.至此AD部分已经完成。Zabbix部分LDAP认证设置入口路径为Management–>Authentication–>LDAPSettingPrerequisites由于ZabbixLDAP认证方式不是同步账号到本地,而是在本地创建AD用户,然后推送到AD在认证的时候用于认证,所以我们需要创建相关的用户。1、创建LDAP认证组的入口路径为:管理-->用户组-->创建用户组2、创建前端访问为LDAP的用户组3、权限中需要注意的是有两个添加,第一个添加是主机组授权,第二个是添加用户组。必须注意的是,如果需要对主机组进行授权,需要先点击红框中的添加,而不是下面的添加。效果图最终效果图4.完成用户组创建后,进入用户创建阶段。入口路径为:Management–>User–>CreateUser5.填写用户信息。需要注意的是,用户名和AD一定要一一对应。选择刚才的用户组,根据自己的需要调整权限(本文演示的是Admin角色)。LDAP配置设置首先我们来看一下这个页面的参数介绍。LDAP主机格式为ldap://AD域控的ip或者AD域控的域名端口。一般默认389,根据自己的环境调整referenceDN(这里翻译有问题)。是根域,一般格式为DC=example,DC=com,搜索属性根据自身环境实际调整固定。AD是sAMAccountName,DN是用户的路径。本文为cn=zabbix,ou=zabbix,dc=kasarit,dc=cn绑定密码为AD用户的密码。登录名和用户密码也必须是本地AD用户和对应的密码,不能是本地账号。这里一定要记住,不然会出现下面的错误。登录用户名为zabbix,测试通过前端登录测试。登录成功。用户信息对应权限正常。通过管理后台查看对应的登录记录。低版本运行正常。由于6.0支持多种认证方式,所有用户相比之前只需要使用某种认证方式即可。可以使用这种方式登录,一旦修改了AD绑定用户的密码,将无法登录,此时可以使用修改数据库的方式。该信息保存在Zabbix数据库的config表中,字段为authentication_type,0代表本地认证,1代表LDAP认证,2代表SAML认证。将其修改为0以恢复本地身份验证。我这里是6.0版本,支持多种认证方式,就不演示了(PG环境也是一样)mysql-uroot-pusezabbix;selectauthentication_typefromconfig;updateconfigsetauthentication_type=0;最后写唯一一个使用LDAP认证的好处是不需要维护用户密码信息,满足安全审计要求,但是需要管理员在本地对账号进行全面规划和创建。其实没有那么方便,但也有好处。对于AD结构环境比较混乱的企业来说,这种方法比较方便,可以过滤一些未经授权的用户登录。认证章节还有两节,一节是openldap,一节是SAML(单点登录),敬请期待。
