前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Zabbix 随笔:与 AD 联动登录篇

Zabbix 随笔:与 AD 联动登录篇

作者头像
IT小白Kasar
发布2022-02-16 18:47:39
8090
发布2022-02-16 18:47:39
举报
文章被收录于专栏:个人技术随笔个人技术随笔

Zabbix 默认认证方式为本地内部认证,也就是在 Zabbix 前端创建的用户。Zabbix 默认有四种认证方式,分别是内部、HTTP、LDAP、SAML(SSO单点登录认证)。其中 HTTP 利用了 WEB 服务本身所提供的认证,就不细说了。

正文

本文环境

  • Zabbix 6.0 LTS RC2
  • Windows 2019
  • 域控版本 2016

AD 部分

安装部分

这里不做过多探讨,具体可以参考互联网相关资源

配置 OU 和用户

这步对于很多企业不太需要,环境具备这步请忽略 1、 Win + R 打开运行,输入 mmc,打开控制台,点击文件选项

2、找到添加/删除管理单元

3、选择 Active Diretory 用户和计算机,点击添加,最后确定即可

4、找到根域,如下图,右键点击根域,在弹出菜单选择新建 –> 组织单位

填写好名字,这里为 zabbix
填写好名字,这里为 zabbix

5、 点击刚刚创建的 OU,并在右边空白处右键或者右键 OU,在弹出菜单选择新建 –> 用户,在密码选项里,这里很多公司的安全要求是不允许出现密码永不过期的策略,所以具体情况具体分析,这里方便演示,选择用户不更改与密码永不过期。

填好用户信息
填好用户信息

6、至此 AD 部分已经完成

Zabbix 部分

LDAP认证设置入口

路径为 管理 –> 认证 –> LDAP设置

先决条件

由于 Zabbix LDAP 的认证方式并不是将账户同步到本地,而是在本地创建 AD 用户,然后认证时推送至 AD 进行鉴权,所以我们需要创建相关用户。 1、创建 LADP 认证组 入口路径为: 管理 –> 用户群组 –> 创建用户群组

2、创建前端访问为 LDAP 的用户组

3、在权限里,需要注意的是有两个添加,第一个添加是主机组赋权,第二个是添加用户组,一定要注意,如果需要针对某个主机群组赋权,需要先点击红框里的添加,而不是下面的添加。

效果图
效果图
最终效果图
最终效果图

4、完成用户群组创建后进入创建用户阶段 入口路径为:管理 –> 用户 –> 创建用户

5、填写用户信息需要注意的是,用户名称和 AD 里的要一一对应,选择刚才的用户群组,权限根据自身的需求调整(本文演示给的 Admin role)。

LDAP 配置设置

首先来看看该页面的参数介绍

  • LDAP 主机格式为 ldap://AD域控的ip或者AD域控的域名
  • 端口一般默认为389,根据自身环境调整
  • 基准 DN(这里翻译有问题),就是根域,一般格式是DC=example,DC=com,根据自身环境实际调整
  • 搜索属性是固定的,AD 为sAMAccountName
  • 绑定 DN 为该用户的路径,本文为cn=zabbix,ou=zabbix,dc=kasarit,dc=cn
  • 绑定密码为 AD 用户的密码
  • 登录和用户密码一定也是本地存在的 AD 用户和对应的密码,而不是本地账户,这里千万要记住,否则会出现下面的报错。
登录用户改为 zabbix 测试通过
登录用户改为 zabbix 测试通过

前端登录测试

登录成功
登录成功
相应的权限正常
相应的权限正常
通过Admin查看登录记录正常
通过Admin查看登录记录正常

低版本操作

由于 6.0 支持多认证方式,相比之前一旦采用某一种认证,所有用户只能采用这种方式登录,一旦绑定 AD 的用户的密码发生改变就导致无法登录,此时可以采用数据库修改方式。该信息是存放在 Zabbix 数据库的 config 表里,字段为 authentication_type ,0 代表本地认证,1 代表 LDAP 认证,2 代表 SAML 认证,修改为 0 即可恢复本地认证。我这里为 6.0 版本,支持多认证方式,所以就不演示了(PG环境也一样。)

代码语言:javascript
复制
mysql -uroot -p
use zabbix;
select authentication_type from config;
update config set authentication_type = 0 ;

写在最后

采用LDAP认证的唯一好处,就是不需要维护用户密码的信息,符合安全审计要求,但需要管理员充分规划账号,在本地创建,其实也并没有那么便捷,但是也有好处,针对 AD 架构环境比较混乱的企业,这种方式相对比较方便,可以过滤一些未授权的用户登录。认证篇还有两节,一节是针对 openldap,一节是针对 SAML(单点登录)

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022-02-06 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 正文
    • 本文环境
      • AD 部分
        • 安装部分
        • 配置 OU 和用户
      • Zabbix 部分
        • LDAP认证设置入口
        • 先决条件
      • LDAP 配置设置
        • 前端登录测试
          • 低版本操作
          • 写在最后
          相关产品与服务
          访问管理
          访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
          领券
          问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档