Настраиваем аутентификацию в Zabbix через MS Active Directory

Настраиваем аутентификацию в Zabbix через MS Active Directory

Иногда, например для хранения в голове меньшего количества всякого рода паролей, очень удобно использовать аутентификацию в системе мониторинга Zabbix с помощью учетных записей Active Directory. Попробуем настроить такую аутентификацию пошагово.

1. Создаем в нашем домене новую учетную запись пользователя для работы LDAP аутентификации Zabbix. Классически — это пользователь с именем zabbix. Выставляем запрет смены пароля (User cannot change password) и бессрочность действия пароля (Password never expires).

Настраиваем аутентификацию в Zabbix через MS Active Directory

Новорожденного пользователя можно и нужно оставить в самой обычной группе Пользователей домена (Domain Users).


Настраиваем аутентификацию в Zabbix через MS Active Directory

2. Создаем одноименного пользователя в самом Zabbix’е, добавив его в группу Zabbix administrators.

Настраиваем аутентификацию в Zabbix через MS Active Directory

 

3. По умолчанию, у новых пользователей нет добавленных способов оповещения (методов отправки уведомлений). Для их создания не забудьте заглянуть на вкладку «Оповещения» и добавить нужный вид оповещений.

4. Выходим из под локального администратора Zabbix — Admin и переаутентифицируемся под новым пользователем — zabbix. Теперь переходим к настройкам доменной аутентификации:

Настраиваем аутентификацию в Zabbix через MS Active Directory

Что писать в поле «Хост LDP»?
В документации к Zabbix пишется, что в поле нужно писать следующее:

Имя LDAP сервера. Например: ldap://ldap.zabbix.com
Используйте протокол ldaps для безопасного LDAP сервера.
ldaps://ldap.zabbix.com

Однако в разных статьях описывается и использование в данном поле IP адреса первичного контроллера домена, где-то предлагают просто написать его FQDN имя, как у меня на скриншоте. Истина, скорее всего где-то посередине.

Откуда взять данные для поля Bind DN? 

Есть два варианта:

Первый — с помощью командной строки (Windows 8, 10) выполним следующий запрос:

Настраиваем аутентификацию в Zabbix через MS Active Directory

Второй — через оснастку AD Active Directory Administrative Center (Центр администрирования Active Directory):

Настраиваем аутентификацию в Zabbix через MS Active Directory

Настраиваем аутентификацию в Zabbix через MS Active Directory

Ну и, как апофеоз всего нашего действа, мы нажимаем кнопку Test в Zabbix и, если всё выполнили верно, видим радующую нас надпись:

Настраиваем аутентификацию в Zabbix через MS Active Directory

 

Важно помнить! После начала работы с Zabbix через аутентификацию в AD, созданный Zabbix локальный администратор Admin потеряет возможность попасть в админку Zabbix’a. Теперь самым важным и главным станет пользователь zabbix, которого мы создали:

Настраиваем аутентификацию в Zabbix через MS Active Directory

 

Восстановление режима локальной аутентификации на Zabbix-сервере

В случае если Active Directory, по каким-то причинам, вдруг станет недоступна, то авторизоваться в Zabbix у нас, естественно, не получится. Но выход и здесь найдется: необходимо переключить режим аутентификации пользователей с LDAP на Внутренняя и сделать это можно на самом Zabbix-сервере, изменив один параметр в базе данных. В нашем случае — в MySQL.

Итак, входим в MySQL:

Выполняем команды:

 

Теперь можно авторизоваться с помощью учетной записи которая была создана при установке Zabbix. Напомним, что имя пользователя по-умолчанию в Zabbix — Admin, а пароль по-умолчанию  — zabbix.

 

Добавление доменных пользователей в Zabbix

В случае необходимости предоставить доступ к Zabbix определенным пользователям из нашего домена, нужно просто добавить в Zabbix пользователей с теми же доменными именами. Пароли задавать нам не придется, да и Zabbix нам этого не даст. Единственное, что нам нужно сделать, при создании «нового» пользователя в Zabbix, — это добавить создаваемого пользователя в нужную нам группу. В примере со скриншота — это группа «Zabbix administrators«. И дать права доступа доступа , на соответствующей вкладке «Права доступа«.

Настраиваем аутентификацию в Zabbix через MS Active Directory

 

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.