2. 定義

3. Zabbixのプロセス

1 Zabbixサーバー

1 高可用性(HA)

2 Zabbixエージェント

3 Zabbixエージェント2

4 Zabbixプロキシ

5 Zabbix Javaゲートウェイ

2 RHELパッケージでのセットアップ

3 Debian/Ubuntuパッケージでのセットアップ

ソースからのセットアップ

6 zabbix_senderコマンド

7 zabbix_getコマンド

8 zabbix_jsコマンド

9 Zabbix Webサービス

4. インストール

1 Zabbixの入手

2 要件

3 ソースコードからのインストール

1 WindowsでのZabbixエージェントのビルド

2 WindowsでのZabbixエージェント2のビルド

3 macOSでのZabbixエージェントのビルド

4 パッケージインストール

4 MSIでWindowsエージェントのインストール

5 PKGでMacOSエージェントのインストール

6 不安定版リリース

7 アップグレード手順

1 Red Hat Enterprise Linux

2 Debian/Ubuntu

3 コンテナからのアップグレード

8 既知の問題

1 コンパイルの問題

2 エスケープ関連のアップグレードの問題

9 テンプレートの変更

10 7.4.0へアップグレード時の注意点

11 7.4.x のアップグレードに関する注意事項

5. クイックスタート

1 ログインとユーザー設定

2 新規ホスト

3 新規アイテム

4 新規トリガー

5 障害発生の通知

6 新規テンプレート

6. Zabbixアプライアンス

7. 設定

1 ホストとホストグループ

1 ホストウィザード

2 ホストの設定

3 ホストグループの設定

4 インベントリ

5 一括更新

2 アイテム

1 アイテムの作成

1 アイテムキーのフォーマット

2 監視間隔のカスタマイズ

2 アイテムの値の保存前処理

1 保存前処理のテスト

2 保存前処理の詳細

3 保存前処理の例

4 JSONPath機能

1 JSONPathのLLDマクロ値からの特殊文字のエスケープ

5 JavaScriptの保存前処理

1 追加のJavaScriptオブジェクト

2 ブラウザアイテムのJavaScriptオブジェクト

6 CSVからJSONへの保存前処理

3 アイテムのタイプ

1 Zabbix エージェント

1 Zabbixエージェント2

2 Windows Zabbixエージェント

2 SNMPエージェント

1 ダイナミックインデックス

2 特殊なOID

3 MIB ファイル

3 SNMPトラップ

4 IPMIチェック

5 シンプルチェック

1 VMware監視アイテムキー

6 ログファイル監視

7 計算

1 集計計算

8 内部チェック

9 SSH チェック

10 Telnetチェック

11 外部チェック

12 トラッパーアイテム

13 JMX 監視

14 ODBC 監視

15 依存アイテム

16 HTTPエージェント

17 Prometheus チェック

18 スクリプト

19 ブラウザアイテム

4 ヒストリとトレンド

5 ユーザーパラメーター

1 Zabbixエージェントの機能拡張

6 Windows パフォーマンスカウンタ

7 一括アップデート

8 値のマッピング

9 キュー

10 バリューキャッシュ

11 即時実行

12 エージェントチェックの制限

3 トリガー

1 トリガーの設定

2 トリガー条件式

3 トリガーの依存関係

4 トリガーの深刻度

5 トリガーの深刻度のカスタマイズ

6 一括アップデート

7 予測トリガー関数

4 イベント

1 トリガーイベントの生成

2 その他のイベントソース

3 問題の手動クローズ

5 イベント相関

1 トリガーによるイベント相関

2 グローバルイベント相関

6 タグ付け

7 視覚化

1 グラフ

1 シンプルグラフ

2 カスタムグラフ

3 アドホックグラフ

4 グラフの集計

2 ネットワークマップ

1 ネットワークマップの設定

2 ホストグループの構成要素

3 リンクインジケーター

3 ダッシュボード

8 テンプレートとテンプレートグループ

1 テンプレートの設定

2 テンプレートグループの設定

3 リンク作成/リンク削除

4 ネスト

5 一括アップデート

9 すぐに使えるテンプレート

1 Zabbixエージェントテンプレートの操作

2 Zabbix agent 2 テンプレートの操作

3 HTTPテンプレートの操作

4 IPMIテンプレートの操作

5 JMXテンプレートの操作

6 ODBCテンプレートの操作

7 ネットワークデバイス用の標準テンプレート

8 VMwareテンプレートの操作

10 イベント時の通知

1 メディアタイプ

1 E-mail

1 自動化されたGmail/Office365メディアタイプ

2 SMS

3 カスタムアラートスクリプト

4 Webhook

1 Webhookスクリプトの例

2 アクション

1 アクション

2 実行内容

1 メッセージの送信

2 リモートコマンド

3 追加操作

4 メッセージでのマクロ使用

3 復旧時実行

4 更新時実行

5 エスカレーション

unsupported_item.md

11 マクロ

1 マクロ関数

2 ユーザーマクロ

3 コンテキストユーザーマクロ

4 Secretユーザーマクロ

5 ローレベルディスカバリマクロ

6 式マクロ

12 ユーザーとユーザーグループ

1 ユーザの設定

2 ユーザー権限

3 ユーザグループ

13 secrets の保存

1 CyberArkの設定

2 HashiCorpの設定

14 スケジュールレポート

15 データのエクスポート

1 ファイルにエクスポート

2 外部システムへのストリーミング

3 SNMPゲートウェイ

8. サービス監視

1 サービスツリー

2 SLA

3 セットアップ例

9. Web監視

1 Web監視アイテム

2 実際のシナリオ

10. 仮想マシン監視

1 VMware監視アイテムキー

2 仮想マシンディスカバリキーフィールド

3 VMwareアイテムのJSONの例

4 VMware監視設定例

11. メンテナンス

12. 正規表現

13. 障害イベントの確認

1 障害の抑制

14. 設定のエクスポート/インポート

1 テンプレートグループ

2 ホストグループ

3 テンプレート

4 ホスト

5 ネットワークマップ

6 メディアタイプ

15. ディスカバリ

1 ネットワークディスカバリ

1 ネットワークディスカバリルールの設定

2 アクティブエージェントの自動登録

3 ローレベルディスカバリ

1 アイテムのプロトタイプ

2 トリガープロトタイプ

3 グラフプロトタイプ

4 ホストプロトタイプ

5 ディスカバリのプロトタイプ

6 ローレベルディスカバリに関する注意事項

7 ディスカバリルール

1 ファイルシステムマウントの検出

2 ネットワークインターフェースの検出

3 CPUとCPUコアの検出

4 SNMP OIDsの検出

5 SNMP OIDsの検出 (legacy)

6 JMXオブジェクトの検出

7 IPMIセンサーの検出

8 systemdサービスの検出

9 Windowsサービスの検出

10 Windowsパフォーマンスカウンターインスタンスの検出

11 WMIクエリを使用した検出

12 ODBC SQLクエリを使用した検出

13 Prometheusデータを使用した検出

14 ブロックデバイスの検出

15 Zabbixでのホストインターフェース検出

8 カスタムLLDルール

16. 分散監視

1 プロキシ

1 監視設定の同期

2 プロキシの負荷分散と高可用性

17. 暗号化

1 証明書の利用

2 事前共有鍵の使用

3 トラブルシューティング

1 接続タイプまたは権限の問題

2 証明書の問題

3 PSKの問題

18. Webインターフェース

1 メニュー

1 イベントメニュー

2 ホストメニュー

3 アイテムメニュー

2 Webインターフェースセクション

1 ダッシュボード

1 ダッシュボードウィジェット

1 アクションログ

2 時計

3 ディスカバリのステータス

4 お気に入りのグラフ

5 お気に入りのマップ

6 ゲージ

7 ジオマップ

8 グラフ

9 グラフ（クラシック）

10 グラフのプロトタイプ

11 ハニカム

12 ホスト稼働状況

13 ホストカード

14 ホストナビゲーター

15 アイテムカード

16 アイテムの履歴

17 アイテムナビゲーター

18 アイテムの値

19 マップ

20 マップナビゲーションツリー

21 円グラフ

22 障害ホスト

23件の障害

24 深刻度別の障害

25 SLAレポート

26 システム情報

27 上位ホスト

28 上位アイテム

29 上位トリガー

30 トリガーの概要

31 URL

32 Web監視

2 監視データ

1 障害

1 原因と症状の障害

2 ホスト

1 グラフ

2 ホストダッシュボード

3 Webシナリオ

3 最新データ

4 マップ

5 ディスカバリ

3 サービス

1 サービス

2 SLA

3 SLAレポート

4 インベントリ

1 概要

2 ホスト

5 レポート

1 システム情報

2 定期レポート

3 稼働レポート

4 障害発生数上位100トリガー

5 監査ログ

6 アクションログ

7 通知レポート

6 データ収集

1 テンプレートグループ

2 ホストグループ

3 テンプレート

1 アイテム

2 トリガー

3 グラフ

4 ディスカバリルール

1 アイテムのプロトタイプ

2 トリガーのプロトタイプ

3 グラフのプロトタイプ

4 ホストのプロトタイプ

5 ディスカバリのプロトタイプ

5 Webシナリオ

4 ホスト

1 アイテム

2 トリガー

3 グラフ

4 ディスカバリルール

1 アイテムのプロトタイプ

2 トリガーのプロトタイプ

3 グラフのプロトタイプ

4 ホストのプロトタイプ

5 ディスカバリのプロトタイプ

5 Webシナリオ

5 メンテナンス

6 イベント相関関係

7 ディスカバリ

7 アラート

1 アクション

2 メディアタイプ

3 スクリプト

8 ユーザー

1 ユーザーグループ

2 ユーザーの役割

3 ユーザー

4 APIトークン

5 認証

1 HTTP

2 LDAP

3 SAML

4 MFA

9 管理

1 一般設定

2 監査ログ

3 ハウスキーピング

4 プロキシ

5 プロキシグループ

6 マクロ

7 キュー

3 ユーザー設定

1 グローバル通知

2 ブラウザのサウンド

4 グローバル検索

5 フロントエンドメンテナンスモード

6 ページパラメーター

7 定義

8 独自テーマ作成

9 デバッグモード

10 Zabbix用Cookie

11 タイムゾーン

12 パスワードのリセット

13 期間セレクター

19. ベストプラクティス

1 セキュリティのベストプラクティス

1 アクセス制御

1 MySQL/MariaDBのセキュリティ保護

2 PostgreSQL/TimescaleDBのセキュリティ保護

2 暗号化

3 Webサーバー

2 設定のベストプラクティス

20. API

メソッドリファレンス

API info

apiinfo.version

Alert

Alertオブジェクト

alert.get

Authentication

Authenticationオブジェクト

authentication.get

authentication.update

Autoregistration

Autoregistrationオブジェクト

autoregistration.get

autoregistration.update

Configuration

configuration.export

configuration.import

configuration.importcompare

Connector

Connectorオブジェクト

connector.create

connector.delete

connector.get

connector.update

Graph

Graphオブジェクト

graph.create

graph.delete

graph.get

graph.update

Housekeeping

Housekeepingオブジェクト

housekeeping.get

housekeeping.update

Image

Imageオブジェクト

image.create

image.delete

image.get

image.update

LLDルール

LLD ruleオブジェクト

discoveryrule.create

discoveryrule.delete

discoveryrule.get

discoveryrule.update

LLDルールのプロトタイプ

LLD ルールプロトタイプオブジェクト

discoveryruleprototype.create

discoveryruleprototype.delete

discoveryruleprototype.get

discoveryruleprototype.update

MFA

MFAオブジェクト

mfa.create

mfa.delete

mfa.get

mfa.update

Module

Moduleオブジェクト

module.create

module.delete

module.get

module.update

Proxy

Proxyオブジェクト

proxy.create

proxy.delete

proxy.get

proxy.update

SLA

SLAオブジェクト

sla.create

sla.delete

sla.get

sla.getsli

sla.update

Settings

Settingsオブジェクト

settings.get

settings.update

Token

Tokenオブジェクト

token.create

token.delete

token.generate

token.get

token.update

User

Userオブジェクト

user.checkAuthentication

user.create

user.delete

user.get

user.login

user.logout

user.provision

user.resettotp

user.unblock

user.update

Webシナリオ

Web scenarioオブジェクト

httptest.create

httptest.delete

httptest.get

httptest.update

アイコンマップ

Icon mapオブジェクト

iconmap.create

iconmap.delete

iconmap.get

iconmap.update

アイテム

Itemオブジェクト

item.create

item.delete

item.get

item.update

アイテムのプロトタイプ

Item prototypeオブジェクト

itemprototype.create

itemprototype.delete

itemprototype.get

itemprototype.update

アクション

Actionオブジェクト

action.create

action.delete

action.get

action.update

イベント

Eventオブジェクト

event.acknowledge

event.get

グラフアイテム

Graph itemオブジェクト

graphitem.get

グラフプロトタイプ

Graph prototypeオブジェクト

graphprototype.create

graphprototype.delete

graphprototype.get

graphprototype.update

サービス

Serviceオブジェクト

service.create

service.delete

service.get

service.update

スクリプト

Scriptオブジェクト

script.create

script.delete

script.execute

script.get

script.getscriptsbyevents

script.getscriptsbyhosts

script.update

タスク

タスクオブジェクト

task.create

task.get

ダッシュボード

Dashboardオブジェクト

dashboard.create

dashboard.delete

dashboard.get

dashboard.update

Dashboard widget fields

1 Action log

2 Clock

3 Discovery status

4 Favorite graphs

5 Favorite maps

6 Gauge

7 Geomap

8 Graph

9 Graph (classic)

10 Graph prototype

11 Honeycomb

12 Host availability

13 Host card

14 Host navigator

15 アイテムカード

16 アイテムの履歴

17 アイテムナビゲーター

18 アイテムの値

19 マップ

20 マップナビゲーションツリー

21 円グラフ

22 障害ホスト

23件の障害

24 深刻度ごとの障害

25 SLAレポート

26 システム情報

27 上位ホスト

28 Top items

29 上位トリガー

30 トリガーの概要

31 URL

32 Web monitoring

テンプレート

Templateオブジェクト

template.create

template.delete

template.get

template.massadd

template.massremove

template.massupdate

template.update

テンプレートグループ

Template groupオブジェクト

templategroup.create

templategroup.delete

templategroup.get

templategroup.massadd

templategroup.massremove

templategroup.massupdate

templategroup.propagate

templategroup.update

テンプレートダッシュボード

Template dashboardオブジェクト

templatedashboard.create

templatedashboard.delete

templatedashboard.get

templatedashboard.update

ディスカバリチェック

Discovery checkオブジェクト

dcheck.get

ディスカバリルール

Discovery ruleオブジェクト

drule.create

drule.delete

drule.get

drule.update

トリガー

Triggerオブジェクト

trigger.create

trigger.delete

trigger.get

trigger.update

トリガープロトタイプ

Trigger prototypeオブジェクト

triggerprototype.create

triggerprototype.delete

triggerprototype.get

triggerprototype.update

トレンド

Trendオブジェクト

trend.get

プロキシグループ

Proxy groupオブジェクト

proxygroup.create

proxygroup.delete

proxygroup.get

proxygroup.update

ホスト

Hostオブジェクト

host.create

host.delete

host.get

host.massadd

host.massremove

host.massupdate

host.update

ホストインターフェース

Host interfaceオブジェクト

hostinterface.create

hostinterface.delete

hostinterface.get

hostinterface.massadd

hostinterface.massremove

hostinterface.replacehostinterfaces

hostinterface.update

ホストグループ

Host groupオブジェクト

hostgroup.create

hostgroup.delete

hostgroup.get

hostgroup.massadd

hostgroup.massremove

hostgroup.massupdate

hostgroup.propagate

hostgroup.update

ホストプロトタイプ

Host prototypeオブジェクト

hostprototype.create

hostprototype.delete

hostprototype.get

hostprototype.update

マップ

Mapオブジェクト

map.create

map.delete

map.get

map.update

メディアタイプ

Media typeオブジェクト

mediatype.create

mediatype.delete

mediatype.get

mediatype.update

メンテナンス

Maintenanceオブジェクト

maintenance.create

maintenance.delete

maintenance.get

maintenance.update

ユーザーグループ

User groupオブジェクト

usergroup.create

usergroup.delete

usergroup.get

usergroup.update

ユーザーディレクトリ

User directoryオブジェクト

userdirectory.create

userdirectory.delete

userdirectory.get

userdirectory.test

userdirectory.update

ユーザーマクロ

User macroオブジェクト

usermacro.create

usermacro.createglobal

usermacro.delete

usermacro.deleteglobal

usermacro.get

usermacro.update

usermacro.updateglobal

レポート

Reportオブジェクト

report.create

report.delete

report.get

report.update

ロール

Roleオブジェクト

role.create

role.delete

role.get

role.update

値マップ

Value mapオブジェクト

valuemap.create

valuemap.delete

valuemap.get

valuemap.update

履歴

Historyオブジェクト

history.clear

history.get

history.push

検出されたサービス

Discovered serviceオブジェクト

dservice.get

検出されたホスト

Discovered hostオブジェクト

dhost.get

正規表現

Regular expressionオブジェクト

regexp.create

regexp.delete

regexp.get

regexp.update

監査ログ

Audit logオブジェクト

auditlog.get

相関関係

Correlationオブジェクト

correlation.create

correlation.delete

correlation.get

correlation.update

障害

Problemオブジェクト

problem.get

高可用性ノード

High availability nodeオブジェクト

hanode.get

付録1. 参考文献の解説

付録2. 7.2から7.4での変更点

付録3. 7.4での変更点

21. 拡張機能

1 ローダブルモジュール

2 プラグイン

3 フロントエンドモジュール

22. 付録

1 インストールとセットアップ

1 データベースの作成

2 Zabbixデータベースのキャラクターセットと照合の修正

3 データベースのアップグレードを主キーへ

4 監査ログテーブルのパーティション化の準備

5 データベースへの安全な接続

1 MySQLの暗号化設定

2 PostgreSQLの暗号化設定

6 フロントエンドへの安全な接続

7 TimescaleDBのセットアップ

8 Elasticsearchのセットアップ

9 Zabbix向けNginxセットアップに関するディストリビューション固有の注意事項

10 エージェントをrootとして実行する

11 Microsoft Windows上のZabbixエージェント

12 Microsoft Entra IDでのSAML設定

13 Okta を使用した SAML の設定

14 OneLoginを使用したSAMLの設定

15 スケジュールレポートの設定

16 追加のWebインターフェース言語

2 プロセスの設定

1 Zabbix サーバー

2 Zabbix プロキシ

3 Zabbix エージェント (UNIX)

4 Zabbix エージェント 2 (UNIX)

5 Zabbix エージェント (Windows)

6 Zabbix エージェント 2 (Windows)

7 Zabbix エージェント 2 プラグイン

1 Ceph プラグイン

2 Docker プラグイン

3 Ember+プラグイン

4 Memcachedプラグイン

5 Modbusプラグイン

6 MongoDBプラグイン

7 MQTTプラグイン

8 MSSQLプラグイン

9 MySQLプラグイン

10 NVIDIA GPUプラグイン

11 Oracleプラグイン

12 PostgreSQLプラグイン

13 Redisプラグイン

14 SMARTプラグイン

8 Zabbix Javaゲートウェイ

9 Zabbix Webサービス

10 環境変数

11 インクルード

3 プロトコル

1 サーバープロキシデータ交換プロトコル

2 Zabbixエージェント/エージェント2のプロトコル

4 Zabbixエージェント2プラグインプロトコル

5 Zabbix senderプロトコル

6 ヘッダー

7 改行区切りJSONエクスポートプロトコル

4 アイテム

1 vm.memory.sizeパラメーター

2 パッシブおよびアクティブエージェントチェック

3 Windowsエージェントアイテムの最小アクセス許可レベル

4 戻り値のエンコード

5 ラージファイルサポート

6 センサー

7 proc.memアイテムのmemtypeパラメーターに関する注意

8 proc.memおよびproc.numアイテムでのプロセスの選択に関する注意

9 net.tcp.serviceおよびnet.udp.serviceチェックの実装の詳細

10 proc.getパラメーター

11 到達不能/使用不可のホストインターフェース設定

12 Zabbix統計のリモート監視

13 Zabbixを使用したKerberosの設定

14 modbus.getパラメーター

15 VMwareのカスタムパフォーマンスカウンター名作成

16 system.sw.packages.getの戻り値

17 net.dns.getの戻り値

18 Windows上のsystem.cpu.utilアイテムに関する注意事項

5 サポートされている関数

1 集計関数

1 Foreach 関数

2 Bitwise関数

3 日付と時刻の関数

4 履歴関数

5 トレンド関数

6 数学関数

7 演算子関数

8 予測関数

9 文字列関数

6 マクロ

1 ロケーションでサポートされているマクロ

2 ロケーションでサポートされているユーザーマクロ

7 単位記号

8 日時フォーマット

9 コマンドの実行

10 バージョン間の互換性

12 Windows向けZabbix senderダイナミックリンクライブラリ

13 サービス監視のアップグレード

14 その他の問題

15 エージェント vs エージェント 2 の比較

16 エスケープの例

23. クイックリファレンスガイド

1 ZabbixエージェントでLinuxを監視する

2 ZabbixエージェントでWindowsを監視する

3 HTTP経由でApacheを監視する

4 Zabbixエージェント2でMySQLを監視する

5 ZabbixでVMwareを監視する

6 Zabbixでネットワークトラフィックを監視する

7 アクティブチェックを使用してネットワークトラフィックを監視する

8 ブラウザアイテムでウェブサイトの監視

9 Zabbixエージェント2(パッシブ)でWebサイトの証明書を監視する

10 Zabbixでネットワークスイッチやルーターを監視する

11 アクティブチェックを使用してWindowsイベントログを監視する

Zabbix Cloud

クラウドにZabbixをデプロイする

ノード設定

ユーザーの追加

Zabbix Cloudの主な違い

開発者センター

モジュール

モジュールファイルの構造

manifest.json

アクション

ビュー

アセット

新しいモジュールの登録

ウィジェット

設定

プレゼンテーション

チュートリアル

モジュールの作成 (チュートリアル)

ウィジェットの作成 (チュートリアル)

例

Zabbix用Pythonライブラリ

インストール

クイックスタートガイド

Zabbix APIを使用する

Zabbixエージェントからデータを収集する

Zabbixサーバーまたはプロキシにデータを送信する

デバッグログ

プラグイン

例

プラグインの作成(チュートリアル)

プラグインインターフェース

拡張機能開発に関する変更

Zabbix manページ

zabbix_agent2

zabbix_agentd

zabbix_get

zabbix_js

zabbix_proxy

zabbix_sender

zabbix_server

zabbix_web_service

著作権に関する通知

ユーザーマニュアル
22. 付録
4 アイテム
13 Zabbixを使用したKerberosの設定

このページで

13 Zabbixを使用したKerberosの設定

13 Zabbixを使用したKerberosの設定

概要

Kerberos認証は、Zabbix のWeb監視およびHTTPアイテムで使用できます。

このページでは、Debian/Ubuntu 上で Zabbix サーバーが www.example.com のWeb監視を実行できるように、Zabbix プロセス用の Kerberos プリンシパルを使用して Kerberos を設定する例について説明します。

設定

1. KDC とクライアントユーティリティをインストールします:

sudo apt update
sudo apt install krb5-kdc krb5-admin-server krb5-user

パッケージのセットアップ中に、プロンプトに回答します。例:

Default Kerberos version 5 realm: EXAMPLE.COM
Kerberos servers for your realm: localhost (or your FQDN)
Administrative server for your Kerberos realm: localhost (or your FQDN)

2. わかりやすいホスト名をマッピングします（任意、ローカルテスト用）。

DNS がない場合は、/etc/hosts を編集して DC と Webサーバーのエントリを追加します:

sudo vi /etc/hosts

追加する行の例:

192.168.1.100  dc01.example.com dc01

3. Kerberos クライアントと KDC realm を設定します:

sudo vi /etc/krb5.conf

設定例:

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_realm = false
    dns_lookup_kdc = false
    rdns = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true

[realms]
    EXAMPLE.COM = {
        kdc = dc01.example.com
        admin_server = dc01.example.com
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

.localdomain やその他の非公開名を使用する予定がある場合は、hostname→realm のマッピングが機能するように、明示的な domain→realm マッピングを追加してください。
ここに不一致があると、Server not found in Kerberos database エラーが発生します。

4. Kerberos データベースを初期化します（1 回のみ、KDC ホスト上）。プロンプトが表示されたら、安全なマスターパスワードを設定します:

sudo krb5_newrealm

5. クライアントが使用する正確なホスト名で HTTP/host.fqdn@REALM principal を作成します。小文字を推奨します（例: HTTP/[email protected]）。大文字小文字や名前の不一致があると、Server not found in Kerberos database が発生します。

sudo kadmin.local

kadmin.local 内で:

addprinc [email protected]     # 管理 principal
addprinc -randkey HTTP/[email protected]
ktadd -k /etc/apache2/http.keytab HTTP/[email protected]
quit

keytab を Web ホストに移動します（同じマシンであればそのままでも可）。その後、Apache から使用できる権限を設定します:

chown www-data:www-data /etc/apache2/http.keytab
chmod 600 /etc/apache2/http.keytab
# verify
sudo -u www-data -k /etc/apache2/http.keytab

6. Apache GSSAPI モジュールをインストールして有効化します:

sudo apt install libapache2-mod-auth-gssapi
sudo a2enmod auth_gssapi
sudo a2enmod headers
sudo systemctl restart apache2

すべての mod_auth_gssapi バージョンが、すべての Gssapi* ディレクティブをサポートしているわけではありません。
Apache が Invalid command 'GssapiCredStore' で失敗する場合は、未対応のディレクティブを削除するか、モジュールをアップグレードしてください。

7. VirtualHost を設定します（DocumentRoot / Zabbix UI へのパスは環境に合わせて調整してください）:

sudo vi /etc/apache2/sites-available/zabbix.conf

zabbix.conf の内容:

<VirtualHost *:80>
    ServerName dc01.example.com
    DocumentRoot /usr/share/zabbix/ui
    <Directory /usr/share/zabbix/ui>
        Options FollowSymLinks
        AllowOverride None
        Require all granted
        AuthType GSSAPI
        AuthName "Kerberos Login"
        GssapiCredStore keytab:/etc/apache2/http.keytab
        GssapiLocalName On
        Require valid-user
    </Directory>
    RequestHeader set X-Remote-User %{REMOTE_USER}s env=REMOTE_USER
    RequestHeader unset Authorization
</VirtualHost>

Apache を再起動します:

sudo systemctl restart apache2

8. KDC サービスを有効化/起動し、待ち受けポートを確認します（KDC ホスト上）:

sudo systemctl enable --now krb5-kdc krb5-admin-server
ss -tnlp | grep :80    # or: sudo netstat -tnlp | grep :80

9. テスト用に TGT を取得します（チケットを使用するユーザーとして実行します）。

チケット一覧に krbtgt/[email protected] が表示されるはずです。
チケットを必要とする同じ OS ユーザーとして kinit を実行してください（例: Web 監視の場合は zabbix、対話型ブラウザー SSO テストの場合は www-data/Apache）。
別の OS ユーザーに発行されたチケットは、KRB5CCNAME と権限を調整しない限り参照できません。

kinit [email protected]
klist

10. curl で SPNEGO 交換をテストします（有効な TGT を持つクライアントから実行）。 200 OK（またはアプリへのリダイレクト）が返れば、SPNEGO は成功しています:

curl -v --negotiate -u : http://dc01.example.com/

11. 必要に応じて、Zabbix UI で HTTP 認証ログインを受け付ける場合は、Zabbix Webインターフェースで HTTP 認証を有効にします（ui/conf/zabbix.conf.php）:

$ALLOW_HTTP_AUTH = true;

Web UI で、Users > Authentication に移動し、HTTP settings タブを開きます。
Enable HTTP authentication チェックボックスをオンにし、ポップアップで Ok をクリックします。
Default login form ドロップダウンで "HTTP login form" を選択します。
Case-sensitive login がディレクトリポリシーに適しているかを判断してください。
最後に Update ボタンをクリックします。

12. ブラウザー設定（例として Firefox を使用）: ブラウザーが Kerberos トークンを自動送信するように、network.negotiate-auth.trusted-uris に Negotiate を実行するホスト（dc01.example.com）を設定します。

about:config 内で:

network.negotiate-auth.trusted-uris = dc01.example.com

これで http://dc01.example.com にアクセスすると、フォームを表示せずにそのまま Zabbix にログインできるはずです。

13. キーとチケットを最新の状態に保ちます。 Kerberos チケットのデフォルト有効期間は約 10 時間です。
期限切れを防ぐために、cron/systemd タイマーを追加します:

#for the web service
kinit -kt /etc/apache2/http.keytab HTTP/[email protected]
#for the monitoring user
kinit -kt /var/lib/zabbix/kerb.keytab [email protected]

14. 保守確認項目:

klist -k /etc/apache2/http.keytab — keytab にサービス principal が存在することを確認します。
sudo tail -f /var/log/apache2/error.log — GSSAPI エラーを監視します（gss_acquire_cred[_from]() failed to get server creds は、keytab/権限の問題、または principal の欠落を意味します）。
curl --negotiate が 401/403 を返す場合は、多くの場合 principal の誤り、チケットなし、host ヘッダー不一致、またはファイルシステム権限の問題が原因です。ログと /etc/krb5.conf の domain マッピングを確認してください。

セキュリティおよびファイル権限に関する注意

keytabファイルは、それを必要とするアカウントのみが読み取り可能でなければなりません。
権限の例: zabbixユーザーのkeytabでは所有者を zabbix:zabbix とした 0400、Apacheのkeytabでは 0440 と root:www-data。

ホスト上に長期間有効な平文パスワードを保存することは避けてください。
可能な場合は、keytabまたはドメイン参加済みマシンプリンシパルを使用してください。

KRB5CCNAME を設定するテストやスクリプトを実行したり、keytabをコピーしたりする場合は、操作後に所有者と権限を必ず再確認してください。Webサーバーが認証情報を拒否する原因として、ファイル権限の問題はよくあります。

What’s next?

14 modbus.getパラメーター

Docs

13 Zabbixを使用したKerberosの設定

概要

設定

セキュリティおよびファイル権限に関する注意

What’s next?

Suggest edit

Suggest an example

Thank you!