2 LDAP
概要
外部LDAP 認証 を使用して、ユーザー名とパスワードを確認できます。
ZabbixのLDAP認証は、少なくともMicrosoft Active DirectoryおよびOpenLDAPで動作します。
LDAPサインインのみが設定されている場合、ユーザーはZabbixにも存在している必要がありますが、そのZabbixパスワードは使用されません。
認証に成功すると、Zabbixはローカルのユーザー名を、LDAPから返されたユーザー名属性と照合します。
ユーザープロビジョニング
LDAPユーザーに対して、JIT(just-in-time)ユーザープロビジョニングを設定できます。
この場合、ユーザーがZabbixに既に存在している必要はありません。
ユーザーがZabbixに初めてログインしたときに、ユーザーアカウントを作成できます。
LDAPユーザーがLDAPのログイン名とパスワードを入力すると、Zabbixはこのユーザーが存在するかどうかをデフォルトのLDAPサーバーで確認します。
ユーザーが存在し、まだZabbixにアカウントがない場合は、Zabbixに新しいユーザーが作成され、ログインできるようになります。
JITプロビジョニングで作成されたユーザーは、作成時点でデフォルトに設定されているLDAPサーバー(ディレクトリ)に関連付けられます。
後でデフォルトのLDAPサーバーを変更しても、すでにプロビジョニングされたユーザーに関連付けられているLDAPサーバーは変更または更新されません。
JITプロビジョニングが有効な場合は、Authentication タブでプロビジョニング解除されたユーザー用のユーザーグループを指定する必要があります。
JITプロビジョニングでは、LDAPの変更に基づいてプロビジョニング済みユーザーアカウントを更新することもできます。
たとえば、ユーザーがあるLDAPグループから別のLDAPグループに移動された場合、Zabbixでも同様にあるグループから別のグループへ移動されます。ユーザーがLDAPグループから削除された場合は、Zabbixのグループからも削除され、他のグループに属していなければ、プロビジョニング解除されたユーザー用のユーザーグループに追加されます。
プロビジョニング済みユーザーアカウントは、設定されたプロビジョニング期間に基づいて、またはユーザーがZabbixにログインしたときに更新されます。
バックグラウンドでのプロビジョニングは、ユーザーがZabbix Webインターフェースを操作しているとき、または少なくともブラウザーでWebインターフェースのページを開いているときに、Zabbix Webインターフェースによって実行されることに注意してください。
ユーザーをプロビジョニングするための専用のバックグラウンドプロセスはありません。
LDAPは、認証と検索のためにディレクトリへバインドする3つの方法をサポートしています。
- 匿名バインド — Bind DN / Bind password が指定されておらず、LDAPサーバーが匿名クエリを許可している場合。
- 専用のバインドユーザー(サービスアカウント) — 特定のLDAPアカウントを Bind DN / Bind password に設定し、Zabbixが検索とプロビジョニングに使用する場合。
これは推奨される最も柔軟な方法です。Zabbixはエンドユーザーの認証情報なしで検索とバックグラウンドプロビジョニングを実行できるためです。 - 直接ユーザーバインド — Zabbixは、ログイン時にユーザーが入力した認証情報を使用してバインドを実行します(Bind DN / Bind password は設定しません)。これは、Base DNに
uid=%{user}のようなプレースホルダーを含めることで設定します。
このモードでは、Zabbixがユーザーのパスワードにアクセスできるのは対話的なログイン中のみです。
その結果、ユーザーのログインセッション外でLDAP認証が必要なプロビジョニング操作(たとえば、Provision now ボタンの使用や、ユーザーがアクティブにログインしていない状態でのバックグラウンドプロビジョニングの実行)は認証できないため、動作しません。
直接ユーザーバインドでのプロビジョニングと更新は、ユーザーがログインした瞬間にのみ行われます。
複数のサーバー
必要に応じて、複数のLDAPサーバーを定義できます。
例えば、異なるユーザーグループの認証に別のサーバーを使用できます。
LDAPサーバーを設定すると、ユーザーグループの設定で、それぞれのユーザーグループに必要なLDAPサーバーを選択できるようになります。
ユーザーが複数のユーザーグループおよび複数のLDAPサーバーに属している場合、認証にはLDAPサーバーの一覧を名前の昇順で並べ替えた際の先頭のサーバーが使用されます。
設定
設定パラメータ:
| Parameter | Description |
|---|---|
| Enable LDAP authentication | LDAP認証を有効にするには、チェックボックスをオンにします。 |
| Enable JIT provisioning | JITプロビジョニングを有効にするには、チェックボックスをオンにします。 |
| Servers | Add をクリックしてLDAPサーバーを設定します(以下のLDAPサーバー設定を参照)。 |
| Case-sensitive login | ユーザー名の大文字と小文字を区別しないログインを無効にするには、チェックボックスをオフにします(デフォルトで有効)。 大文字と小文字を区別するログインを無効にすると、たとえばZabbixユーザーが "Admin" または "ADMIN" であっても、"admin" としてログインできます。 大文字と小文字を区別するログインが無効で、類似したユーザー名(例: Admin と admin)を持つ複数のZabbixユーザーが存在する場合、それらのユーザーのログインは常に次のエラーメッセージで拒否されることに注意してください: "Authentication failed: supplied credentials are not unique." |
| Provisioning period | プロビジョニング期間、つまりログイン中のユーザーがWebインターフェースの使用中にどのくらいの頻度でプロビジョニングされるかを設定します。 |
LDAPサーバー設定
LDAPサーバー設定パラメーター:
| Parameter | Description |
|---|---|
| Name | Zabbix設定におけるLDAPサーバーの名前。 |
| Host | LDAPサーバーのホスト名、IP、またはURI。例: ldap.example.com, 127.0.0.1, ldap://ldap.example.com セキュアなLDAPサーバーでは、ldaps プロトコルとホスト名を使用します。例: ldaps://ldap.example.com OpenLDAP 2.x.x以降では、ldap://hostname:port または ldaps://hostname:port 形式の完全なLDAP URIを使用できます。 |
| Port | LDAPサーバーのポート。デフォルトは389です。 セキュアなLDAP接続では、通常ポート番号は636です。 完全なLDAP URIを使用する場合は使用されません。 |
| Base DN | LDAPサーバー上のユーザーアカウントへのベースパス: ou=Users,ou=system (OpenLDAPの場合), DC=company,DC=com (Microsoft Active Directoryの場合) uid=%{user},dc=example,dc=com (直接ユーザーbindの場合。下記の注記を参照) |
| Search attribute | 検索に使用するLDAPアカウント属性: uid (OpenLDAPの場合), sAMAccountName (Microsoft Active Directoryの場合) |
| Bind DN | LDAPサーバーへのbindおよび検索に使用するLDAPアカウント。例: uid=ldap_search,ou=system (OpenLDAPの場合), CN=ldap_search,OU=user_group,DC=company,DC=com (Microsoft Active Directoryの場合) 匿名bindもサポートされています。なお、匿名bindを許可すると、ドメイン設定が未認証ユーザーに公開される可能性があります(ユーザー、コンピューター、サーバー、グループ、サービスなどの情報)。セキュリティ上の理由から、LDAPホストで匿名bindを無効にし、代わりに認証済みアクセスを使用してください。 |
| Bind password | LDAPサーバーへのbindおよび検索に使用するアカウントのLDAPパスワード。 |
| Description | LDAPサーバーの説明。 |
| Configure JIT provisioning | このチェックボックスをオンにすると、JIT provisioningに関連するオプションが表示されます。 |
| Group configuration | グループ設定方法を選択します: memberOf - ユーザーとそのグループ所属属性を検索して設定 groupOfNames - member属性を通じてグループを検索して設定 memberOfの方が高速なため推奨されます。LDAPサーバーが memberOf をサポートしていない場合、またはグループフィルタリングが必要な場合は groupOfNames を使用してください。 |
| Group name attribute | memberOf 属性内のすべてのオブジェクトからグループ名を取得する属性を指定します(User group membership attribute フィールドを参照)。グループ名はユーザーグループのマッピングに必要です。 |
| User group membership attribute | ユーザーが所属するグループに関する情報を含む属性を指定します(例: memberOf)。たとえば、memberOf属性には次のような情報が含まれる場合があります: memberOf=cn=zabbix-admin,ou=Groups,dc=example,dc=comこのフィールドは memberOf メソッドでのみ使用できます。 |
| User name attribute | ユーザーの名を含む属性を指定します。 |
| User last name attribute | ユーザーの姓を含む属性を指定します。 |
| User group mapping | LDAPユーザーグループのパターンをZabbixユーザーグループおよびユーザーロールにマッピングします。 これは、プロビジョニングされたユーザーにZabbixでどのユーザーグループ/ロールが付与されるかを決定するために必要です。 マッピングを追加するには Add をクリックします。 LDAP group pattern フィールドはワイルドカードをサポートします。グループ名は既存のグループと一致する必要があります。 LDAPユーザーが複数のZabbixユーザーグループに一致する場合、そのユーザーはそれらすべてのメンバーになります。 ユーザーが複数のZabbixユーザーロールに一致する場合、その中で最も高い権限レベルのロールが付与されます。 |
| Media type mapping | 通知送信用に、ユーザーのLDAP media 属性(例: email)をZabbixユーザーメディアにマッピングします(属性値はメディアの Send to フィールドとして使用されます)。 |
| Advanced configuration | Advanced configuration 見出しをクリックすると、詳細設定オプションが表示されます(下記参照)。 |
| StartTLS | LDAPサーバーへ接続する際にStartTLS操作を使用する場合は、このチェックボックスをオンにします。サーバーがStartTLSをサポートしていない場合、接続は失敗します。 StartTLSは ldaps プロトコルを使用するサーバーでは使用できません。 |
| Search filter | LDAPでユーザーを認証する際に使用するカスタム文字列を定義します。次のプレースホルダーがサポートされています:%{attr} - 検索属性名 (uid, sAMAccountName)%{user} - 認証するユーザー名の値たとえば、ケース非依存のLDAPまたはMicrosoft Active Directory環境内で大文字小文字を区別する検索を行うには、次のように文字列を定義できます: (%{attr}:caseExactMatch:=%{user}).フィルターをカスタマイズしない場合、LDAPはデフォルトの (%{attr}=%{user}) を使用します。 |
直接ユーザーbind 用にLDAPサーバーを設定するには、Base DN パラメーターに uid=%{user} 属性を追加し(例: uid=%{user},dc=example,dc=com)、BindDN および Bind password パラメーターは空のままにします。
認証時には、プレースホルダー %{user} はログイン時に入力されたユーザー名に置き換えられます。
直接ユーザーbindでは、Zabbixがユーザーの認証情報にアクセスできるのは対話型ログイン中のみです。
そのため、対話型ログインなしで動作するプロビジョニングタスク(たとえば Provision now ボタンや user.provision APIメソッド)は、直接ユーザーbindで認証したユーザーを無視します。これは、Zabbixがそのユーザーの代わりにbindできないためです。
WebインターフェースからプロビジョニングやLDAP検索を、エンドユーザーのログインを必要とせずに動作させたい場合は、匿名bindまたは専用のbindユーザー(サービスアカウント)を使用してください。
以下のフィールドは、Group configuration メソッドとして "groupOfNames" を使用する場合に固有です:
| Parameter | Description |
|---|---|
| Group base DN | LDAPサーバー上のグループへのベースパス。 |
| Group name attribute | 指定したグループのベースパス内でグループ名を取得する属性を指定します。 グループ名はユーザーグループのマッピングに必要です。 |
| Group member attribute | LDAP内のグループメンバーに関する情報を含む属性を指定します(例: member)。 |
| Reference attribute | グループフィルターの参照属性を指定します(Group filter フィールドを参照)。 その後、グループフィルター内で %{ref} を使用して、ここで指定した属性の値を取得します。 |
| Group filter | ユーザーがメンバーであるグループを取得するためのフィルターを指定します。 たとえば、 (member=uid=%{ref},ou=Users,dc=example,dc=com) は、グループの member 属性が uid=User1,ou=Users,dc=example,dc=com の場合に "User1" に一致し、"User1" がメンバーであるグループを返します。 |
証明書に問題がある場合、セキュアなLDAP接続(ldaps)を機能させるために、/etc/openldap/ldap.conf 設定ファイルに TLS_REQCERT allow 行を追加する必要がある場合があります。
これにより、LDAPカタログへの接続のセキュリティが低下する可能性があります。
実際のユーザーアカウント(Zabbix Webインターフェースへのログインに使用するアカウント)を使う代わりに、LDAPサーバー上で最小権限のbindおよび検索を行うための別個のLDAPアカウント(Bind DN)を作成することを推奨します。
この方法はより安全であり、ユーザーがLDAPサーバー上で自分のパスワードを変更しても Bind password を変更する必要がありません。
上の表では、これが ldap_search アカウント名です。
アクセスのテスト
テストボタンを使用すると、ユーザーアクセスをテストできます。
| Parameter | Description |
|---|---|
| Login | テストするLDAPユーザー名(Zabbix Webインターフェースの現在のユーザー名があらかじめ入力されています)。このユーザー名はLDAPサーバーに存在している必要があります。 Zabbixは、テストユーザーを認証できない場合、LDAP認証を有効化しません。 |
| User password | テストするLDAPユーザーパスワード。 |