Documentation
Table of Contents
3 Аутентификация
Обзор
В Администрирование → Аутентификация можно изменить метод аутентификации пользователей в Zabbix. Из доступных методов аутентификации присутствуют внутренний, LDAP и HTTP.
По умолчанию, используется внутренняя аутентификация Zabbix. Чтобы изменить её, кликните на кнопку с именем метода и нажмите Сохранить.
Внутренняя
Используется внутренняя Zabbix аутентификация.
LDAP
Можно использовать внешнюю аутентификацию LDAP для проверки имен пользователей и паролей. Обратите внимание, что пользователь также должен существовать в Zabbix, однако его пароль из Zabbix не будет использоваться.
Аутентификация Zabbix LDAP работает по крайней мере с Microsoft Active Directory и OpenLDAP.
Параметры настроек:
| Параметр | Описание |
|---|---|
| Хост LDAP | Имя LDAP сервера. Например: ldap://ldap.zabbix.com Для безопасного LDAP сервера используйте протокол ldaps. ldaps://ldap.zabbix.com |
| Порт | Порт LDAP сервера. По умолчанию 389. Для безопасного подключения к LDAP обычно используется номер порта 636. |
| База для поиска (BaseDN) | Базовый путь для поиска аккаунтов: ou=Users,ou=system (для OpenLDAP), DC=company,DC=com (для Microsoft Active Directory) |
| Атрибут поиска | Атрибут LDAP аккаунта используемый для поиска: uid (для OpenLDAP), sAMAccountName (для Microsoft Active Directory) |
| Имя для подключения (Bind DN) | LDAP аккаунт для подключения и поиска на LDAP сервере, примеры: uid=ldap_search,ou=system (для OpenLDAP), CN=ldap_search,OU=user_group,DC=company,DC=com (для Microsoft Active Directory) Требуется, анонимное подключение не поддерживается. |
| Пароль подключения (Bind password) | Пароль LDAP аккаунта для подключения и поиска на LDAP сервере. |
| Тест аутентификации | Заголовок секции тестирования |
| Вход в систему | Имя тестового пользователя (который вошел в веб-интерфейс Zabbix). Это имя пользователя должно существовать на LDAP сервере. Zabbix не активирует LDAP аутентификацию если не удастся авторизовать тестового пользователя. |
| Пароль пользователя | Пароль LDAP тестового пользователя. |
Рекомендуется создать отдельный LDAP аккаунт (Имя для подключения (Bind DN)) для выполнения подключения и поиска на LDAP сервере с минимальными привилегиями в LDAP, вместо использования реальных аккаунтов пользователей (используемые для входа в веб-интерфейс Zabbix).
Такой подход более безопасный и не потребует изменения Пароль подключения (Bind password), если пользователь изменит свой собственный пароль на LDAP сервере.
В таблице представленной выше это имя аккаунта ldap_search.
Некоторые группы пользователей могут оставаться с авторизацией через Zabbix. Эти группы должны иметь доступ к веб-интерфейсу равным Внутренняя.
HTTP
Можно использовать аутентификацию на основе Apache (HTTP) для проверки имен пользователей и паролей. Обратите внимание, что пользователь также должен существовать в Zabbix, однако его пароль из Zabbix не будет использоваться.
Будьте осторожны! Убедитесь что аутентификация через Apache настроена и работает до переключения на неё.
В случае с аутентификацией через Apache все пользователи (в том числе и c доступом к веб-интерфейсу равным Внутренняя) будут авторизоваться через Apache, не через Zabbix!