Иногда, например для хранения в голове меньшего количества всякого рода паролей, очень удобно использовать аутентификацию в системе мониторинга Zabbix с помощью учетных записей Active Directory. Попробуем настроить такую аутентификацию пошагово.
1. Создаем в нашем домене новую учетную запись пользователя для работы LDAP аутентификации Zabbix. Классически — это пользователь с именем zabbix. Выставляем запрет смены пароля (User cannot change password) и бессрочность действия пароля (Password never expires).
Новорожденного пользователя можно и нужно оставить в самой обычной группе Пользователей домена (Domain Users).
2. Создаем одноименного пользователя в самом Zabbix’е, добавив его в группу Zabbix administrators.
3. По умолчанию, у новых пользователей нет добавленных способов оповещения (методов отправки уведомлений). Для их создания не забудьте заглянуть на вкладку «Оповещения» и добавить нужный вид оповещений.
4. Выходим из под локального администратора Zabbix — Admin и переаутентифицируемся под новым пользователем — zabbix. Теперь переходим к настройкам доменной аутентификации:
Что писать в поле «Хост LDP»?
В документации к Zabbix пишется, что в поле нужно писать следующее:
Имя LDAP сервера. Например: ldap://ldap.zabbix.com
Используйте протокол ldaps для безопасного LDAP сервера.
ldaps://ldap.zabbix.com
Однако в разных статьях описывается и использование в данном поле IP адреса первичного контроллера домена, где-то предлагают просто написать его FQDN имя, как у меня на скриншоте. Истина, скорее всего где-то посередине.
Откуда взять данные для поля Bind DN?
Есть два варианта:
Первый — с помощью командной строки (Windows 8, 10) выполним следующий запрос:
1 |
dsquery user -samid zabbix |
Второй — через оснастку AD Active Directory Administrative Center (Центр администрирования Active Directory):
Ну и, как апофеоз всего нашего действа, мы нажимаем кнопку Test в Zabbix и, если всё выполнили верно, видим радующую нас надпись:
Важно помнить! После начала работы с Zabbix через аутентификацию в AD, созданный Zabbix локальный администратор Admin потеряет возможность попасть в админку Zabbix’a. Теперь самым важным и главным станет пользователь zabbix, которого мы создали:
Восстановление режима локальной аутентификации на Zabbix-сервере
В случае если Active Directory, по каким-то причинам, вдруг станет недоступна, то авторизоваться в Zabbix у нас, естественно, не получится. Но выход и здесь найдется: необходимо переключить режим аутентификации пользователей с LDAP на Внутренняя и сделать это можно на самом Zabbix-сервере, изменив один параметр в базе данных. В нашем случае — в MySQL.
Итак, входим в MySQL:
1 |
mysql -u root -p |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
На память, пароли для Zabbix: База данных: root:<случайный> zabbix:<случайный> Пароли к базе данных генерируются случайным образом в процессе инсталляции. Пароль root записан в /root/.my.cnf файле, таким образом не требуется вводить пароль, находясь под аккаунтом “root”. Веб-интерфейс Zabbix: Admin:zabbix Для изменения пароля пользователя базы данных, потребуются изменения в следующих местах: MySQL; /etc/zabbix/zabbix_server.conf; /etc/zabbix/web/zabbix.conf.php. |
Выполняем команды:
1 |
UPDATE `zabbix`.`config` SET `authentication_type` = '0' WHERE `config`.`configid` =1; |
1 |
UPDATE `zabbix`.`users` SET passwd=md5('ВАШ_ПАРОЛЬ_СГЕНЕРИРОВАННЫЙ_В_MD5') WHERE `alias`='Admin'; |
Теперь можно авторизоваться с помощью учетной записи которая была создана при установке Zabbix. Напомним, что имя пользователя по-умолчанию в Zabbix — Admin, а пароль по-умолчанию — zabbix.
Добавление доменных пользователей в Zabbix
В случае необходимости предоставить доступ к Zabbix определенным пользователям из нашего домена, нужно просто добавить в Zabbix пользователей с теми же доменными именами. Пароли задавать нам не придется, да и Zabbix нам этого не даст. Единственное, что нам нужно сделать, при создании «нового» пользователя в Zabbix, — это добавить создаваемого пользователя в нужную нам группу. В примере со скриншота — это группа «Zabbix administrators«. И дать права доступа доступа , на соответствующей вкладке «Права доступа«.