1. 3 Аутентификация огляд
2. Внутрішня
3. LDAP
4. HTTP

3 Аутентификация

огляд

У розділі Адміністрування → Аутентификация можна змінити метод аутентифікації користувачів в Zabbix. Із таких методів аутентифікації внутрішній, LDAP і HTTP.

За замовчуванням, використовується внутрішній метод Zabbix аутентифікації. Щоб змінити його, натисніть на кнопку з ім'ям методу і потім Оновити.

Внутрішня

Використовується вбудована Zabbix аутентифікація.

LDAP

Можна використовувати зовнішню аутентифікацію LDAP для перевірки імен користувачів і паролів. Зверніть увагу, що користувач також повинен існувати в Zabbix, однак його пароль з Zabbix не використовуватиметься.

Аутентифікація Zabbix LDAP працює принаймні з Microsoft Active Directory і OpenLDAP.

Параметри налаштувань:

Параметр Опис Хост LDAP Ім'я LDAP сервера. Наприклад: ldap: //ldap.zabbix.com
Використовуйте протокол ldaps для безпечного LDAP сервера.
ldaps: //ldap.zabbix.com
При використанні OpenLDAP 2.xx і більш пізніх можна використовувати повний LDAP URI в формі ldap: // імяху: порт або ldaps: // імяху: порт. Порт Порт LDAP сервера. За замовчуванням 389.
Для безпечного підключення до LDAP зазвичай використовується номер порту 636.
Не використовується при використанні повних LDAP URI. База для пошуку (BaseDN) Базовий шлях для пошуку акаунтів:
ou = Users, ou = system (в OpenLDAP),
DC = company, DC = com (в Microsoft Active Directory) Атрибут пошуку Атрибут LDAP аккаунта, який необхідно використовувати для пошуку:
uid (в OpenLDAP),
sAMAccountName (в Microsoft Active Directory) Ім'я для підключення (Bind DN) LDAP аккаунт для отримання інформації щодо під'єднання і пошуку на LDAP сервері, приклади:
uid = ldap_search, ou = system (в OpenLDAP),
CN = ldap_search, OU = user_group, DC = company, DC = com (в Microsoft Active Directory)
Обов'язково, анонімне підключення не підтримується. Пароль підключення (Bind password) Пароль LDAP аккаунта для отримання інформації щодо під'єднання і пошуку на LDAP сервері. Тест аутентифікації Тема розділу тестування вхід Ім'я тестового користувача (який виконав вхід в веб-інтерфейс Zabbix). Це ім'я користувача повинно існувати на LDAP сервері.
Zabbix НЕ активує LDAP аутентифікацію, якщо не вдається авторизувати тестового користувача. Пароль користувача Пароль LDAP до тестового користувачеві.

У разі проблем з сертифікатами, щоб запрацювало безпечне з'єднання LDAP (ldaps), вам можливо буде потрібно додати TLS_REQCERT allow рядок в файл конфігурації /etc/openldap/ldap.conf. Ця установка може знизити рівень безпеки підключення до LDAP каталогом.

Рекомендується створити окремий LDAP аккаунт (Ім'я для підключення (Bind DN)), щоб підключатися і шукати на LDAP сервері з мінімальними привілеями в LDAP, замість використання реальних акаунтів користувачів (використовувані для входу в веб-інтерфейс Zabbix).
Такий підхід більш безпечний і не зажадає зміни Пароль підключення (Bind password), якщо користувач змінить свій власний пароль на LDAP сервері.
У таблиці поданій вище це ім'я аккаунта ldap_search.

Деякі групи користувачів можуть виконувати аутентифікацію через Zabbix. У цих групах необхідно вказати Внутрішній доступ до веб-інтерфейсу .

HTTP

Можна використовувати аутентифікацію на основі Apache (HTTP) для перевірки імен користувачів і паролів. Зверніть увагу, що користувач також повинен існувати в Zabbix, однак його пароль з Zabbix не використовуватиметься.

Будьте уважні! Переконайтеся що аутентифікація через Apache налаштована і працює до перемикання на неї.

При аутентифікації через Apache всі користувачі (в тому числі і c Внутрішнім доступом до веб-інтерфейсу ) Будуть виконувати аутентифікацію через Apache, а не через Zabbix!