1. 3 Аутентификация огляд
2. HTTP аутентифікація
3. LDAP аутентифікація

3 Аутентификация

огляд

У розділі Адміністрування → Аутентификация можна задати глобальний метод аутентифікації в Zabbix. Із таких методів аутентифікації внутрішній, HTTP і LDAP.

Зверніть увагу, що метод аутентифікації можна змінити на рівні групи користувачів .

За замовчуванням, глобально використовується внутрішній метод Zabbix аутентифікації. Щоб змінити його:

• на HTTP - перейдіть на Налаштування HTTP вкладку і введіть деталі аутентифікації;

• на LDAP - виберіть LDAP як Аутентификация за замовчуванням і введіть деталі аутентифікації на вкладці Налаштування LDAP.

Після завершення натисніть на Оновити внизу форми.

HTTP аутентифікація

Для перевірки імен користувачів і паролів можна використовувати HTTP або аутентифікацію на основі веб-сервера (наприклад: Basic Authentication, NTLM / Kerberos). Зверніть увагу, що користувач повинен також існувати і в Zabbix, однак, його Zabbix пароль не використовуватиметься.

Будьте уважні! Переконайтеся, що аутентифікація на основі веб-сервера налаштована і працює коректно перед тим як перейти на неї.

Параметри конфігурації:

Параметр Опис Активація HTTP аутентифікації Відзначте, щоб активувати HTTP аутентифікацію. Діалог входу в систему за замовчуванням Вкажіть куди слід перенаправляти користувачів не пройшли аутентифікацію успішно:
Діалог входу в систему Zabbix - стандартна сторінка входу в Zabbix.
HTTP діалог входу в систему - від мене вимагається залогуватись HTTP.
Рекомендується включити аутентифікацію на основі веб-сервера тільки для index_http.php сторінки. Якщо Діалог входу в систему за замовчуванням заданий значенням 'HTTP діалог входу в систему' користувач буде входити в систему автоматично, якщо модуль аутентифікації веь-сервера задасть коректне ім'я користувача в $ _SERVER змінної.
Підтримуваними ключами $ _SERVER є PHP_AUTH_USER, REMOTE_USER, AUTH_USER. Видалення імені домена Задайте ім'я домену, який необхідно видалити з імені користувача.
Наприклад, компанія, будь-яка - якщо ім'ям користувача є ' [Email protected] будь-яка ',' компанія \ Admin ', користувач виконає вхід як' Admin '; якщо ім'я користувача 'некомпанія \ Admin', вхід в систему буде заборонений до регістру ім'я входу Приберіть позначку, щоб відключити чутливий до регістру вхід (активований за замовчуванням).
Наприклад, вимкніть чутливий до регістру вхід і входите, наприклад, як 'ADMIN' користувач навіть, якщо Zabbix користувач 'Admin'.
Зверніть увагу, що не чутливий до регістру вхід буде заблокований, якщо в базі даних Zabbix існують кілька користувачів з однаковими псевдонімами (наприклад: Admin, admin). У разі аутентифікації на базі веб-сервера всі користувачі (навіть з доступом до веб-інтерфейсу зі значенням Внутрішній) будуть аутентифицироваться веб-сервером, а не Zabbix!

Для внутрішніх користувачів, які не змогли ввійти, використовуючи дані облікових даних HTTP (з HTTP діалогом входу в систему за замовчуванням), яка призводить до 401 помилку, ви можливо захочете додати рядок ErrorDocument 401 /index.php?form=default до директив простий аутентифікації , яка згодом приведе до звичайного діалогу Zabbix входу в систему.

LDAP аутентифікація

Можна використовувати зовнішню аутентифікацію LDAP для перевірки імен користувачів і паролів. Зверніть увагу, що користувач також повинен існувати в Zabbix, однак його пароль з Zabbix не використовуватиметься.

Хоча LDAP аутентифікація задається глобально деякі групи користувачів можуть все ще аутентифицироваться з допомогу Zabbix. У цих груп доступ до веб-інтерфейсу повинен бути заданий значенням Внутрішній. І навпаки, якщо глобально використовується внутрішня аутентифікація, деталі LDAP аутентифікації можна задати і використовувати за окремими групами користувачів у яких доступ до веб-інтерфейсу заданий значенням LDAP.

Аутентифікація Zabbix LDAP працює принаймні з Microsoft Active Directory і OpenLDAP.

Параметри налаштувань:

Параметр Опис Активація LDAP аутентифікації Відзначте, щоб активувати LDAP аутентифікацію. Хост LDAP Ім'я LDAP сервера. Наприклад: ldap: //ldap.zabbix.com
Використовуйте протокол ldaps для безпечного LDAP сервера.
ldaps: //ldap.zabbix.com
При використанні OpenLDAP 2.xx і більш пізніх можна використовувати повний LDAP URI в формі ldap: // імяху: порт або ldaps: // імяху: порт. Порт Порт LDAP сервера. За замовчуванням 389.
Для безпечного підключення до LDAP зазвичай використовується номер порту 636.
Не використовується при використанні повних LDAP URI. База для пошуку (BaseDN) Базовий шлях для пошуку акаунтів:
ou = Users, ou = system (в OpenLDAP),
DC = company, DC = com (в Microsoft Active Directory) Атрибут пошуку Атрибут LDAP аккаунта, який необхідно використовувати для пошуку:
uid (в OpenLDAP),
sAMAccountName (в Microsoft Active Directory) Ім'я для підключення (Bind DN) LDAP аккаунт для отримання інформації щодо під'єднання і пошуку на LDAP сервері, приклади:
uid = ldap_search, ou = system (в OpenLDAP),
CN = ldap_search, OU = user_group, DC = company, DC = com (в Microsoft Active Directory)
Обов'язково, анонімне підключення не підтримується. Чутливі до регістру ім'я входу Приберіть позначку, щоб відключити чутливий до регістру вхід (активований за замовчуванням). Пароль підключення (Bind password) Пароль LDAP аккаунта для отримання інформації щодо під'єднання і пошуку на LDAP сервері. Тест аутентифікації Тема розділу тестування вхід Ім'я тестового користувача (який виконав вхід в веб-інтерфейс Zabbix). Це ім'я користувача повинно існувати на LDAP сервері.
Zabbix НЕ активує LDAP аутентифікацію, якщо не вдається авторизувати тестового користувача. Пароль користувача Пароль LDAP до тестового користувачеві.

У разі проблем з сертифікатами, щоб запрацювало безпечне з'єднання LDAP (ldaps), вам можливо буде потрібно додати TLS_REQCERT allow рядок в файл конфігурації /etc/openldap/ldap.conf. Ця установка може знизити рівень безпеки підключення до LDAP каталогом.

Рекомендується створити окремий LDAP аккаунт (Ім'я для підключення (Bind DN)), щоб підключатися і шукати на LDAP сервері з мінімальними привілеями в LDAP, замість використання реальних акаунтів користувачів (використовувані для входу в веб-інтерфейс Zabbix).
Такий підхід більш безпечний і не зажадає зміни Пароль підключення (Bind password), якщо користувач змінить свій власний пароль на LDAP сервері.
У таблиці поданій вище це ім'я аккаунта ldap_search.