14. Настройка Kerberos с Zabbix

Обзор

Аутентификацию Kerberos можно использовать в веб-мониторинге и HTTP элементах данных в Zabbix, начиная с версии 4.4.0.

В этом разделе описывается пример настройки Kerberos с Zabbix сервером для выполнения веб-мониторинга страницы www.example.com под пользователем «zabbix».

Шаги

Шаг 1

Установите пакет Kerberos.

Для Debian/Ubuntu:

apt install krb5-user

Для RHEL:

dnf install krb5-workstation
Шаг 2

Настройте файл конфигурации Kerberos (смотрите документацию MIT для получения более подробной информации)

cat /etc/krb5.conf 
       
       [libdefaults]
           default_realm = EXAMPLE.COM
       
       # Следующие переменные krb5.conf предназначены только для MIT Kerberos.
           kdc_timesync = 1
           ccache_type = 4
           forwardable = true
           proxiable = true
       
           [realms]
           EXAMPLE.COM = {
           }
       
           [domain_realm]
           .example.com=EXAMPLE.COM
           example.com=EXAMPLE.COM
Шаг 3

Создайте билет Kerberos для пользователя zabbix. Выполните следующую команду под пользователем zabbix:

kinit zabbix

Важно выполнить команду выше под пользователем zabbix. Если вы выполните её под root, аутентификация не будет работать.

Шаг 4

Создайте веб-сценарий или элемент данных типа "HTTP агент" с типом аутентификации Kerberos.

Опционально можно протестировать при помощи следующей команды:

curl -v --negotiate -u : http://example.com

Обратите внимание, что для длительного веб-мониторинга потребуется позаботиться о продлении срока действия Kerberos билета. По умолчанию время истечения срока действия билета 10 часов.