Zabbix默認(rèn)認(rèn)證方式為本地內(nèi)部認(rèn)證，也就是在zabbix前端創(chuàng)建的用戶。Zabbix默認(rèn)有四種認(rèn)證方式，分別是內(nèi)部、http、LDAP、SAML(SSO單點(diǎn)登錄認(rèn)證)。其中http利用了web服務(wù)本身所提供的認(rèn)證，就不細(xì)說了。

正文

本文環(huán)境

• Zabbix 6.0 LTS RC2
• Windows 2019
• 域控版本 2016

AD 部分

安裝部分

這里不做過多探討，具體可以參考互聯(lián)網(wǎng)相關(guān)資源

配置 OU 和用戶

這步對(duì)于很多企業(yè)不太需要，環(huán)境具備這步請(qǐng)忽略

1、 Win + R 打開運(yùn)行，輸入 mmc,打開控制臺(tái)，點(diǎn)擊文件選項(xiàng)

2、找到添加/刪除管理單元

3、選擇 Active Diretory 用戶和計(jì)算機(jī)，點(diǎn)擊添加，最后確定即可

4、找到根域，如下圖，右鍵點(diǎn)擊根域，在彈出菜單選擇新建 –> 組織單位

填寫好名字，本文為zabbix

5、 點(diǎn)擊剛剛創(chuàng)建的 OU，并在右邊空白處右鍵或者右鍵 OU，在彈出菜單選擇新建 –> 用戶，在密碼選項(xiàng)里，這里很多公司的安全要求是不允許出現(xiàn)密碼永不過期的策略，所以具體情況具體分析，這里方便演示，選擇用戶不更改與密碼永不過期。

填寫用戶信息

6、至此 AD 部分已經(jīng)完成

Zabbix 部分

LDAP認(rèn)證設(shè)置入口

路徑為 管理 –> 認(rèn)證 –> LDAP設(shè)置

先決條件

由于 Zabbix LDAP 認(rèn)證方式并不是將賬戶同步到本地，而是在本地創(chuàng)建 AD 用戶，然后認(rèn)證時(shí)推送至 AD 進(jìn)行鑒權(quán)，所以我們需要?jiǎng)?chuàng)建相關(guān)用戶。

1、創(chuàng)建 LADP 認(rèn)證組

入口路徑為： 管理 –> 用戶群組 –> 創(chuàng)建用戶群組

2、創(chuàng)建前端訪問為 LDAP 的用戶組

3、在權(quán)限里，需要注意的是有兩個(gè)添加，第一個(gè)添加是主機(jī)組賦權(quán)，第二個(gè)是添加用戶組，一定要注意，如果需要針對(duì)某個(gè)主機(jī)群組賦權(quán)，需要先點(diǎn)擊紅框里的添加，而不是下面的添加。

效果圖

最終效果圖

4、完成用戶群組創(chuàng)建后進(jìn)入創(chuàng)建用戶階段

入口路徑為：管理 –> 用戶 –> 創(chuàng)建用戶

5、填寫用戶信息需要注意的是，用戶名稱和 AD 里的要一一對(duì)應(yīng)，選擇剛才的用戶群組，權(quán)限根據(jù)自身的需求調(diào)整(本文演示給的 Admin role)。

LDAP 配置設(shè)置

首先來看看該頁(yè)面的參數(shù)介紹

• LDAP 主機(jī)格式為 ldap://AD域控的ip或者AD域控的域名
• 端口一般默認(rèn)為389，根據(jù)自身環(huán)境調(diào)整
• 基準(zhǔn) DN(這里翻譯有問題)，就是根域，一般格式是 DC=example,DC=com，根據(jù)自身環(huán)境實(shí)際調(diào)整
• 搜索屬性是固定的，AD 為 sAMAccountName
• 綁定 DN 為該用戶的路徑，本文為 cn=zabbix,ou=zabbix,dc=kasarit,dc=cn
• 綁定密碼為 AD 用戶的密碼
• 登錄和用戶密碼一定也是本地存在的 AD 用戶和對(duì)應(yīng)的密碼，而不是本地賬戶，這里千萬要記住，否則會(huì)出現(xiàn)下面的報(bào)錯(cuò)。

登錄用戶名為zabbix，測(cè)試通過

前端登錄測(cè)試

登錄成功用戶信息

相應(yīng)的權(quán)限正常

通過Admin查看相應(yīng)登錄記錄正常

低版本操作

由于 6.0 支持多種認(rèn)證方式，相比之前一旦采用某一種認(rèn)證，所有用戶只能采用這種方式登錄，一旦綁定 AD 用戶的密碼發(fā)生改變就導(dǎo)致無法登錄，此時(shí)可以采用數(shù)據(jù)庫(kù)修改方式。該信息是存放在 Zabbix 數(shù)據(jù)庫(kù)的 config 表里，字段為 authentication_type ，0 代表本地認(rèn)證，1 代表 LDAP 認(rèn)證，2 代表 SAML 認(rèn)證，修改為 0 即可恢復(fù)本地認(rèn)證。我這里為 6.0 版本，支持多認(rèn)證方式，所以就不演示了(PG環(huán)境也一樣。)

mysql -uroot -p
use zabbix;
select authentication_type from config;
update config set authentication_type = 0 ;

寫在最后

采用LDAP認(rèn)證的唯一好處，就是不需要維護(hù)用戶密碼的信息，符合安全審計(jì)要求，但需要管理員充分規(guī)劃賬號(hào)，在本地創(chuàng)建，其實(shí)也并沒有那么便捷，但是也有好處，針對(duì) AD 架構(gòu)環(huán)境比較混亂的企業(yè)，這種方式相對(duì)比較方便，可以過濾一些未授權(quán)的用戶登錄。認(rèn)證篇還有兩節(jié)，一節(jié)是針對(duì) openldap，一節(jié)是針對(duì) SAML(單點(diǎn)登錄)，敬請(qǐng)關(guān)注哦。