Zabbix默認認證方式為本地內(nèi)部認證，也就是在zabbix前端創(chuàng)建的用戶。Zabbix默認有四種認證方式，分別是內(nèi)部、http、LDAP、SAML(SSO單點登錄認證)。其中http利用了web服務(wù)本身所提供的認證，就不細說了。

正文

本文環(huán)境

• Zabbix 6.0 LTS RC2
• Windows 2019
• 域控版本 2016

AD 部分

安裝部分

這里不做過多探討，具體可以參考互聯(lián)網(wǎng)相關(guān)資源

配置 OU 和用戶

這步對于很多企業(yè)不太需要，環(huán)境具備這步請忽略

1、 Win + R 打開運行，輸入 mmc,打開控制臺，點擊文件選項

2、找到添加/刪除管理單元

3、選擇 Active Diretory 用戶和計算機，點擊添加，最后確定即可

4、找到根域，如下圖，右鍵點擊根域，在彈出菜單選擇新建 –> 組織單位

填寫好名字，本文為zabbix

5、 點擊剛剛創(chuàng)建的 OU，并在右邊空白處右鍵或者右鍵 OU，在彈出菜單選擇新建 –> 用戶，在密碼選項里，這里很多公司的安全要求是不允許出現(xiàn)密碼永不過期的策略，所以具體情況具體分析，這里方便演示，選擇用戶不更改與密碼永不過期。

填寫用戶信息

6、至此 AD 部分已經(jīng)完成

Zabbix 部分

LDAP認證設(shè)置入口

路徑為 管理 –> 認證 –> LDAP設(shè)置

先決條件

由于 Zabbix LDAP 認證方式并不是將賬戶同步到本地，而是在本地創(chuàng)建 AD 用戶，然后認證時推送至 AD 進行鑒權(quán)，所以我們需要創(chuàng)建相關(guān)用戶。

1、創(chuàng)建 LADP 認證組

入口路徑為： 管理 –> 用戶群組 –> 創(chuàng)建用戶群組

2、創(chuàng)建前端訪問為 LDAP 的用戶組

3、在權(quán)限里，需要注意的是有兩個添加，第一個添加是主機組賦權(quán)，第二個是添加用戶組，一定要注意，如果需要針對某個主機群組賦權(quán)，需要先點擊紅框里的添加，而不是下面的添加。

效果圖

最終效果圖

4、完成用戶群組創(chuàng)建后進入創(chuàng)建用戶階段

入口路徑為：管理 –> 用戶 –> 創(chuàng)建用戶

5、填寫用戶信息需要注意的是，用戶名稱和 AD 里的要一一對應(yīng)，選擇剛才的用戶群組，權(quán)限根據(jù)自身的需求調(diào)整(本文演示給的 Admin role)。

LDAP 配置設(shè)置

首先來看看該頁面的參數(shù)介紹

• LDAP 主機格式為 ldap://AD域控的ip或者AD域控的域名
• 端口一般默認為389，根據(jù)自身環(huán)境調(diào)整
• 基準 DN(這里翻譯有問題)，就是根域，一般格式是 DC=example,DC=com，根據(jù)自身環(huán)境實際調(diào)整
• 搜索屬性是固定的，AD 為 sAMAccountName
• 綁定 DN 為該用戶的路徑，本文為 cn=zabbix,ou=zabbix,dc=kasarit,dc=cn
• 綁定密碼為 AD 用戶的密碼
• 登錄和用戶密碼一定也是本地存在的 AD 用戶和對應(yīng)的密碼，而不是本地賬戶，這里千萬要記住，否則會出現(xiàn)下面的報錯。

登錄用戶名為zabbix，測試通過

前端登錄測試

登錄成功用戶信息

相應(yīng)的權(quán)限正常

通過Admin查看相應(yīng)登錄記錄正常

低版本操作

由于 6.0 支持多種認證方式，相比之前一旦采用某一種認證，所有用戶只能采用這種方式登錄，一旦綁定 AD 用戶的密碼發(fā)生改變就導致無法登錄，此時可以采用數(shù)據(jù)庫修改方式。該信息是存放在 Zabbix 數(shù)據(jù)庫的 config 表里，字段為 authentication_type ，0 代表本地認證，1 代表 LDAP 認證，2 代表 SAML 認證，修改為 0 即可恢復本地認證。我這里為 6.0 版本，支持多認證方式，所以就不演示了(PG環(huán)境也一樣。)

mysql -uroot -p
use zabbix;
select authentication_type from config;
update config set authentication_type = 0 ;

寫在最后

采用LDAP認證的唯一好處，就是不需要維護用戶密碼的信息，符合安全審計要求，但需要管理員充分規(guī)劃賬號，在本地創(chuàng)建，其實也并沒有那么便捷，但是也有好處，針對 AD 架構(gòu)環(huán)境比較混亂的企業(yè)，這種方式相對比較方便，可以過濾一些未授權(quán)的用戶登錄。認證篇還有兩節(jié)，一節(jié)是針對 openldap，一節(jié)是針對 SAML(單點登錄)，敬請關(guān)注哦。