La autenticación por LDAP externo se puede utilizar para comprobar nombres de usuario y contraseñas.
La autenticación LDAP de Zabbix funciona al menos con el directorio activo de Microsoft y OpenLDAP.
Si solo se configura el inicio de sesión LDAP, entonces el usuario también debe existir en Zabbix; sin embargo, no se utilizará su contraseña de Zabbix. Si la autenticación es exitosa, Zabbix buscará una coincidencia con un nombre de usuario local con el atributo de nombre de usuario devuelto por LDAP.
Es posible configurar el aprovisionamiento de usuarios JIT (just-in-time) para usuarios LDAP. En este caso, no es necesario que un usuario ya exista en Zabbix. La cuenta de usuario puede crearse cuando el usuario inicia sesión en Zabbix por primera vez.
Cuando un usuario LDAP introduce su inicio de sesión y contraseña LDAP, Zabbix comprueba el servidor LDAP por defecto para ver si este usuario existe. Si el usuario existe y aún no tiene una cuenta en Zabbix, se crea un nuevo usuario en Zabbix y el usuario puede iniciar sesión.
Si el aprovisionamiento JIT está habilitado, se debe especificar un grupo de usuarios para los usuarios desaprovisionados en la pestaña Autenticación.
El aprovisionamiento JIT también permite actualizar las cuentas de usuario aprovisionadas en función de los cambios en LDAP. Por ejemplo, si un usuario se mueve de un grupo LDAP a otro, el usuario también se moverá de un grupo a otro en Zabbix; si un usuario es eliminado de un grupo LDAP, el usuario también será eliminado del grupo en Zabbix y, si no pertenece a ningún otro grupo, se añadirá al grupo de usuarios para usuarios desaprovisionados. Las cuentas de usuario aprovisionadas se actualizan en función del período de aprovisionamiento configurado o cuando el usuario inicia sesión en Zabbix.
Tenga en cuenta que el aprovisionamiento en segundo plano lo realiza el frontend de Zabbix cuando el usuario interactúa con él o al menos tiene una página del frontend abierta en el navegador. No existen procesos en segundo plano dedicados para aprovisionar usuarios.
El aprovisionamiento JIT de LDAP solo está disponible cuando LDAP está configurado para usar "anónimo" o "usuario especial" para la vinculación. Para la vinculación directa de usuario, el aprovisionamiento se realizará solo para la acción de inicio de sesión del usuario, ya que la contraseña del usuario que inicia sesión se utiliza para este tipo de vinculación.
Si es necesario, se pueden definir varios servidores LDAP. Por ejemplo, un servidor diferente se puede utilizar para autenticar un grupo de usuarios diferente. Una vez los servidores LDAP están configurados, en la configuración del grupo de usuarios es posible seleccionar el servidor LDAP requerido para el grupo de usuarios respectivo.
Si un usuario está en varios grupos de usuarios y varios servidores LDAP, se utilizará para la autenticación el primer servidor del grupo en la lista de servidores LDAP ordenados por nombre en orden ascendente.
Parámetros de configuración:
Parámetro | Descripción |
---|---|
Habilitar autenticación LDAP | Marque la casilla para habilitar la autenticación LDAP. |
Habilitar aprovisionamiento JIT | Marque la casilla para habilitar el aprovisionamiento JIT. |
Servidores | Haga clic en Agregar para configurar un servidor LDAP (consulte Configuración del servidor LDAP a continuación). |
Inicio de sesión sensible a mayúsculas y minúsculas | Desmarque la casilla para deshabilitar el inicio de sesión sensible a mayúsculas y minúsculas para los nombres de usuario (habilitado por defecto). Deshabilitar el inicio de sesión sensible a mayúsculas y minúsculas permite, por ejemplo, iniciar sesión como "admin" incluso si el usuario de Zabbix es "Admin" o "ADMIN". Tenga en cuenta que si el inicio de sesión sensible a mayúsculas y minúsculas está deshabilitado y hay varios usuarios de Zabbix con nombres de usuario similares (por ejemplo, Admin y admin), el inicio de sesión para esos usuarios siempre será denegado con el siguiente mensaje de error: "Autenticación fallida: las credenciales proporcionadas no son únicas." |
Período de aprovisionamiento | Establezca el período de aprovisionamiento, es decir, con qué frecuencia se aprovisionará al usuario conectado mientras trabaja con la interfaz web. |
Parámetros de configuración del servidor LDAP:
Parámetro | Descripción |
---|---|
Nombre | Nombre del servidor LDAP en la configuración de Zabbix. |
Equipo | Nombre de equipo, IP o URI del servidor LDAP. Ejemplos: ldap.example.com, 127.0.0.1, ldap://ldap.example.com Para un servidor LDAP seguro, utilice el protocolo ldaps y el nombre de equipo. Ejemplo: ldaps://ldap.example.com Con OpenLDAP 2.x.x y posteriores, se puede utilizar un URI LDAP completo con el formato ldap://hostname:port o ldaps://hostname:port. |
Puerto | Puerto del servidor LDAP. El valor predeterminado es 389. Para una conexión LDAP segura, el número de puerto normalmente es 636. No se utiliza cuando se utilizan URI LDAP completos. |
DN base | Ruta base a las cuentas de usuario en el servidor LDAP: ou=Users,ou=system (para OpenLDAP), DC=company,DC=com (para Microsoft Active Directory) uid =%{user},dc=example,dc=com (para el enlace directo del usuario, consulte la nota a continuación) |
Atributo de búsqueda | Atributo de cuenta LDAP utilizado para la búsqueda: uid (para OpenLDAP), sAMAccountName (para Microsoft Active Directory) |
Vincular DN | Cuenta LDAP para vincular y buscar en el servidor LDAP, ejemplos: uid=ldap_search,ou=system (para OpenLDAP), CN=ldap_search,OU=user_group ,DC=company,DC=com (para Microsoft Active Directory) También se admite el enlace anónimo. Tenga en cuenta que el enlace anónimo potencialmente abre la configuración del dominio a usuarios no autorizados (información sobre usuarios, computadoras, servidores, grupos, servicios, etc.). Por razones de seguridad, deshabilite los enlaces anónimos en los hosts LDAP y utilice el acceso autenticado en su lugar. |
Contraseña de vinculación | Contraseña LDAP de la cuenta para vincular y buscar en el servidor LDAP. |
Descripción | Descripción del servidor LDAP. |
Configurar el aprovisionamiento JIT | Marque esta casilla de verificación para mostrar las opciones relacionadas con el aprovisionamiento JIT. |
Configuración de grupo | Seleccione el método de configuración de grupo: memberOf - buscando usuarios y su atributo de membresía de grupo groupOfNames - buscando grupos a través del atributo de miembro Tenga en cuenta que memberOf es preferible ya que es más rápido; use groupOfNames si su servidor LDAP no admite memberOf o si se requiere filtrado de grupo. |
Atributo de nombre de grupo | Especifique el atributo para obtener el nombre de grupo de todos los objetos en el atributo memberOf (consulte el campo Atributo de membresía de grupo de usuarios)El nombre de grupo es necesario para la asignación de grupos de usuarios. |
Atributo de membresía de grupo de usuarios | Especifique el atributo que contiene información sobre los grupos a los que pertenece el usuario (por ejemplo, memberOf ).Por ejemplo, el atributo memberOf puede contener información como esta: memberOf=cn=zabbix -admin,ou=Grupos,dc=example,dc=com Este campo solo está disponible para el método memberOf. |
Atributo de nombre de usuario | Especifique el atributo que contiene el nombre del usuario. |
Atributo de apellido del usuario | Especifique el atributo que contiene el apellido del usuario. |
Asignación de grupos de usuarios | Asigne un patrón de grupo de usuarios LDAP al grupo de usuarios y la función de usuario de Zabbix. Esto es necesario para determinar qué grupo/rol de usuarios obtendrá el usuario aprovisionado en Zabbix. Haga clic en Agregar para agregar una asignación. El campo patrón de grupo LDAP admite comodines. El nombre del grupo debe coincidir con un grupo existente. Si un usuario LDAP coincide con varios grupos de usuarios de Zabbix, el usuario se convierte en miembro de todos ellos. Si un usuario coincide con varios roles de usuario de Zabbix, el usuario obtendrá uno con el nivel de permiso más alto entre ellos. |
Asignación de tipos de medios | Asigna los atributos de medios LDAP del usuario (por ejemplo, correo electrónico) a los medios de usuario de Zabbix para enviar notificaciones. |
Configuración avanzada | Haga clic en la etiqueta Configuración avanzada para mostrar las opciones de configuración avanzadas (ver más abajo). |
StartTLS | Marque la casilla de verificación para utilizar la operación StartTLS al conectarse al servidor LDAP. La conexión se interrumpirá si el servidor no admite StartTLS. StartTLS no se puede utilizar con servidores que utilizan el protocolo ldaps. |
Filtro de búsqueda | Defina una cadena personalizada al autenticar a un usuario en LDAP. Se admiten los siguientes marcadores de posición:%{attr} - nombre del atributo de búsqueda (uid, sAMAccountName)%{user} - valor del nombre de usuario del usuario para autenticarPor ejemplo, para llevar a cabo un caso -búsqueda que distingue entre mayúsculas y minúsculas en el entorno LDAP o Microsoft Active Directory, la cadena se puede definir de la siguiente manera: (%{attr}:caseExactMatch:=%{user}) .Si el filtro es no personalizado, LDAP utilizará el valor predeterminado: (%{attr}=%{user}) . |
Para configurar un servidor LDAP para vinculación directa de usuario, agregue un atributo uid=%{user} al parámetro Base DN (por ejemplo,uid=%{user},dc=example,dc=com ) y deje los parámetros BindDN y Bind contraseña vacíos. Al autenticarse, el marcador de posición %{user} será reemplazado por el nombre de usuario ingresado durante el inicio de sesión.
Los siguientes campos son específicos de "groupOfNames" como método de configuración de grupo:
Parámetro | Descripción |
---|---|
DN base del grupo | Ruta base a los grupos en el servidor LDAP. |
Atributo de nombre de grupo | Especifique el atributo para obtener el nombre del grupo en la ruta base especificada a los grupos. El nombre del grupo es necesario para la asignación de grupos de usuarios. |
Atributo de miembro del grupo | Especifique el atributo que contiene información sobre los miembros del grupo en LDAP (por ejemplo, miembro ). |
Atributo de referencia | Especifique el atributo de referencia para el filtro de grupo (consulte el campo Filtro de grupo). Luego use %{ref} en el filtro de grupo para obtener valores para el atributo especificado aquí. |
Filtro de grupo | Especifique el filtro para recuperar el grupo del que es miembro el usuario. Por ejemplo, (member=uid=%{ref},ou=Users,dc=example,dc=com) coincidirá con "Usuario1" si el atributo de miembro del grupo es uid=Usuario1,ou=Usuarios,dc=ejemplo,dc=com y devolverá el grupo del que "Usuario1" es miembro. |
En caso de problemas con los certificados, para hacer que funcione una conexión LDAP segura (ldaps) es posible que deba agregar una línea TLS_REQCERT enable
a la configuración del archivo /etc/openldap/ldap.conf. Puede disminuir la seguridad de la conexión al catálogo LDAP.
Se recomienda crear una cuenta LDAP separada (Bind DN) para realizar la vinculación y buscar en el servidor LDAP con privilegios mínimos en LDAP en lugar de usar real cuentas de usuario (utilizadas para iniciar sesión en la interfaz de Zabbix).
Este enfoque proporciona más seguridad y no requiere cambiar la contraseña de vinculación cuando el usuario cambia su propia contraseña en el servidor LDAP.
En la tabla anterior está el nombre de la cuenta ldap_search.
El botón Probar permite probar el acceso del usuario:
Parámetro | Descripción |
---|---|
Iniciar sesión | Nombre de usuario LDAP para probar (completado previamente con el nombre de usuario actual de la interfaz de Zabbix). Este nombre de usuario debe existir en el servidor LDAP. Zabbix no activará la autenticación LDAP si no puede autenticar al usuario de prueba. |
Contraseña de usuario | Contraseña de usuario LDAP para probar. |