Sidebar

Zabbix Summit 2022
Register for Zabbix Summit 2022

3 Аутентификация

Обзор

В разделе Администрирование → Аутентификация можно задать глобальный метод аутентификации в Zabbix. Доступны следующие методы аутентификации внутренний, HTTP и LDAP.

Обратите внимание, что метод аутентификации можно изменить на уровне группы пользователей.

По умолчанию, глобально используется внутренний метод Zabbix аутентификации. Чтобы изменить его:

  • на HTTP - перейдите на Настройки HTTP вкладку и введите детали аутентификации;
  • на LDAP - выберите LDAP как Аутентификация по умолчанию и введите детали аутентификации на вкладке Настройки LDAP.

После завершения нажмите на Обновить внизу формы.

HTTP аутентификация

Для проверки имён пользователей и паролей можно использовать HTTP или аутентификацию на основе веб-сервера (например: Basic Authentication, NTLM/Kerberos). Обратите внимание, что пользователь должен также существовать и в Zabbix, однако, его Zabbix пароль не будет использоваться.

Будьте осторожны! Убедитесь, что аутентификация на основе веб-сервера настроена и работает корректно перед тем как переключиться на неё.

Параметры конфигурации:

Параметр Описание
Активация HTTP аутентификации Отметьте, чтобы активировать HTTP аутентификацию.
Диалог входа в систему по умолчанию Укажите куда следует перенаправлять пользователей не прошедших аутентификацию успешно:
Диалог входа в систему Zabbix - стандартная страница входа в Zabbix.
HTTP диалог входа в систему - страница входа HTTP.
Рекомендуется включить аутентификацию на основе веб-сервера только для index_http.php страницы. Если Диалог входа в систему по умолчанию задан значением 'HTTP диалог входа в систему' пользователь будет входить в систему автоматически, если модуль аутентификации веь-сервера задаст корректное имя пользователя в$_SERVER переменной.
Поддерживаемыми ключами $_SERVER являются PHP_AUTH_USER, REMOTE_USER, AUTH_USER.
Удаление имени домена Список имён доменов, разделённых запятой, которые необходимо удалить с имени пользователя.
Например, компания,любая - если именем пользователя является '[email protected]любая', 'компания\Admin', пользователь выполнит вход как 'Admin'; если имя пользователя 'некомпания\Admin', вход в систему будет запрещён.
Регистрозависимое имя входа Уберите отметку, чтобы отключить чувствительный к регистру вход (активирован по умолчанию) для имён пользоваталей.
Например, отключите чувствительный к регистру вход и входите, например, как 'ADMIN' пользователь даже, если Zabbix пользователь 'Admin'.
Обратите внимание, что не чувствительный к регистру вход будет заблокирован, если в базе данных Zabbix существуют несколько пользователей с одинаковыми псевдонимами (например: Admin, admin).

В случае аутентификации на базе веб-сервера все пользователи (даже с доступом к веб-интерфейсу со значением Внутренний) будут аутентифицироваться веб-сервером, а не Zabbix!

Для внутренних пользователей, которые не смогли выполнить вход с использованием учётных данных HTTP (с HTTP диалогом входа в систему по умолчанию), которая приводит к 401 ошибке, вы возможно захотите добавить строку ErrorDocument 401 /index.php?form=default к директивам простой аутентификации, которая впоследствии приведёт к обычному диалогу Zabbix входа в систему.

LDAP аутентификация

Можно использовать внешнюю аутентификацию LDAP для проверки имен пользователей и паролей. Обратите внимание, что пользователь также должен существовать в Zabbix, однако его пароль из Zabbix не будет использоваться.

Хотя LDAP аутентификация задается глобально некоторые группы пользователей могут всё еще аутентифицироваться с помощь Zabbix. У этих групп доступ к веб-интерфейсу должен быть задан значением Внутренний. И наоборот, если глобально используется внутренняя аутентификация, детали LDAP аутентификации можно задать и использовать по отдельным группам пользователей у которых доступ к веб-интерфейсу задан значением LDAP.

Аутентификация Zabbix LDAP работает по крайней мере с Microsoft Active Directory и OpenLDAP.

Параметры настроек:

Параметр Описание
Активация LDAP аутентификации Отметьте, чтобы активировать LDAP аутентификацию.
Хост LDAP Имя LDAP сервера. Например: ldap://ldap.zabbix.com
Используйте протокол ldaps для безопасного LDAP сервера.
ldaps://ldap.zabbix.com
При использовании OpenLDAP 2.x.x и более поздних можно использовать полный LDAP URI в форме ldap://имяхоста:порт или ldaps://имяхоста:порт.
Порт Порт LDAP сервера. По умолчанию 389.
Для безопасного подключения к LDAP обычно используется номер порта 636.
Не используется при использовании полных LDAP URI.
База для поиска (BaseDN) Базовый путь для поиска аккаунтов:
ou=Users,ou=system (в OpenLDAP),
DC=company,DC=com (в Microsoft Active Directory)
Атрибут поиска Атрибут LDAP аккаунта, который необходимо использовать для поиска:
uid (в OpenLDAP),
sAMAccountName (в Microsoft Active Directory)
Имя для подключения (Bind DN) LDAP аккаунт для выполнения подключения и поиска на LDAP сервере, примеры:
uid=ldap_search,ou=system (в OpenLDAP),
CN=ldap_search,OU=user_group,DC=company,DC=com (в Microsoft Active Directory)

Анонимное подключение также поддерживается.
Регистрозависимое имя входа Уберите отметку, чтобы отключить чувствительный к регистру вход (активирован по умолчанию) для имён пользователей.
Например, отключите чувствительный к регистру вход и входите, например, как 'ADMIN' пользователь даже, если Zabbix пользователь 'Admin'.
Обратите внимание, что не чувствительный к регистру вход будет заблокирован, если в базе данных Zabbix существуют несколько пользователей с одинаковыми псевдонимами (например: Admin, admin).
Пароль подключения (Bind password) Пароль LDAP аккаунта для выполнения подключения и поиска на LDAP сервере.
Тест аутентификации Заголовок раздела тестирования
Вход в систему Имя тестового пользователя (который выполнил вход в веб-интерфейс Zabbix). Это имя пользователя должно существовать на LDAP сервере.
Zabbix не активирует LDAP аутентификацию, если не удается авторизовать тестового пользователя.
Пароль пользователя Пароль LDAP к тестовому пользователю.

В случае проблем с сертификатами, чтобы заработало безопасное соединение LDAP (ldaps), вам возможно потребуется добавить TLS_REQCERT allow строку в файл конфигурации /etc/openldap/ldap.conf. Эта настройка может снизить уровень безопасности подключения к LDAP каталогу.

Рекомендуется создать отдельный LDAP аккаунт (Имя для подключения (Bind DN)), чтобы подключаться и искать на LDAP сервере с минимальными привилегиями в LDAP, вместо использования реальных аккаунтов пользователей (используемые для входа в веб-интерфейс Zabbix).
Такой подход более безопасный и не потребует изменения Пароль подключения (Bind password), если пользователь изменит свой собственный пароль на LDAP сервере.
В таблице представленной выше это имя аккаунта ldap_search.