14 使用 Zabbix 配置 Kerberos

概述

自Zabbix版本4.4.0起,可在网络监控和HTTP 监控项中使用Kerberos认证。

本节描述如何配置Zabbix服务器通过Kerberos对www.example.com进行网络监控,使用'zabbix'用户身份。

步骤

步骤1

安装Kerberos软件包。

对于Debian/Ubuntu系统:

apt install krb5-user

对于RHEL系统:

dnf install krb5-workstation
步骤 2

配置Kerberos配置文件(详情参阅MIT文档)

cat /etc/krb5.conf 
       [libdefaults]
           default_realm = EXAMPLE.COM
       
       # The following krb5.conf variables are only for MIT Kerberos.
           kdc_timesync = 1
           ccache_type = 4
           forwardable = true
           proxiable = true
       
       [realms]
           EXAMPLE.COM = {
           }
       
       [domain_realm]
           .example.com=EXAMPLE.COM
           example.com=EXAMPLE.COM
步骤3

为用户zabbix创建Kerberos票据。以zabbix用户身份运行以下命令:

kinit zabbix

必须确保以zabbix用户身份执行上述命令。若以root身份运行,认证将无法正常工作。

步骤4

创建支持Kerberos认证类型的Web场景或HTTPagent监控项。

可使用以下curl命令进行测试:

curl -v --negotiate -u : http://example.com

注意:对于长时间运行的Web监控,需要处理Kerberos票据的续订问题。默认票据过期时间为10小时。