Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

2 LDAP

Descripción general

La autenticación externa LDAP puede utilizarse para comprobar nombres de usuario y contraseñas.

La autenticación LDAP de Zabbix funciona al menos con Microsoft Active Directory y OpenLDAP.

Si solo se configura el inicio de sesión LDAP, entonces el usuario también debe existir en Zabbix; sin embargo, su contraseña de Zabbix no se utilizará. Si la autenticación es exitosa, Zabbix hará coincidir un nombre de usuario local con el atributo de nombre de usuario devuelto por LDAP.

Aprovisionamiento de usuarios

Es posible configurar el aprovisionamiento de usuarios JIT (just-in-time) para usuarios LDAP. En este caso, no es necesario que un usuario ya exista en Zabbix. La cuenta de usuario puede crearse cuando el usuario inicia sesión en Zabbix por primera vez.

Cuando un usuario LDAP introduce su inicio de sesión y contraseña LDAP, Zabbix comprueba el servidor LDAP por defecto para ver si este usuario existe. Si el usuario existe y aún no tiene una cuenta en Zabbix, se crea un nuevo usuario en Zabbix y el usuario puede iniciar sesión.

Si el aprovisionamiento JIT está habilitado, se debe especificar un grupo de usuarios para los usuarios desaprovisionados en la pestaña Autenticación.

El aprovisionamiento JIT también permite actualizar las cuentas de usuario aprovisionadas en función de los cambios en LDAP. Por ejemplo, si un usuario se mueve de un grupo LDAP a otro, el usuario también se moverá de un grupo a otro en Zabbix; si un usuario se elimina de un grupo LDAP, el usuario también se eliminará del grupo en Zabbix y, si no pertenece a ningún otro grupo, se añadirá al grupo de usuarios para usuarios desaprovisionados. Tenga en cuenta que las cuentas de usuario aprovisionadas se actualizan en función del período de aprovisionamiento configurado o cuando el usuario inicia sesión en Zabbix.

El aprovisionamiento JIT de LDAP solo está disponible cuando LDAP está configurado para usar "anónimo" o "usuario especial" para la vinculación. Para la vinculación directa de usuario, el aprovisionamiento solo se realizará para la acción de inicio de sesión del usuario, ya que la contraseña del usuario que inicia sesión se utiliza para este tipo de vinculación.

Varios servidores

Se pueden definir varios servidores LDAP, si es necesario. Por ejemplo, se puede utilizar un servidor diferente para autenticar a un grupo de usuarios diferente. Una vez que se configuran los servidores LDAP, en la configuración del grupo de usuarios es posible seleccionar el servidor LDAP requerido para el grupo de usuarios respectivo.

Si un usuario pertenece a varios grupos de usuarios y a varios servidores LDAP, se utilizará para la autenticación el primer servidor en la lista de servidores LDAP ordenados por nombre en orden ascendente.

Configuración

Parámetros de configuración:

Parámetro Descripción
Habilitar autenticación LDAP Marque la casilla para habilitar la autenticación LDAP.
Habilitar aprovisionamiento JIT Marque la casilla para habilitar el aprovisionamiento JIT.
Servidores Haga clic en Agregar para configurar un servidor LDAP (consulte Configuración del servidor LDAP a continuación).
Inicio de sesión sensible a mayúsculas y minúsculas Desmarque la casilla para deshabilitar el inicio de sesión sensible a mayúsculas y minúsculas para los nombres de usuario (habilitado por defecto).
Deshabilitar el inicio de sesión sensible a mayúsculas y minúsculas permite, por ejemplo, iniciar sesión como "admin" incluso si el usuario de Zabbix es "Admin" o "ADMIN".
Tenga en cuenta que si el inicio de sesión sensible a mayúsculas y minúsculas está deshabilitado y hay varios usuarios de Zabbix con nombres de usuario similares (por ejemplo, Admin y admin), el inicio de sesión para esos usuarios siempre será denegado con el siguiente mensaje de error: "Autenticación fallida: las credenciales proporcionadas no son únicas."
Período de aprovisionamiento Establezca el período de aprovisionamiento, es decir, con qué frecuencia se realiza el aprovisionamiento de usuarios.

Configuración del servidor LDAP

Parámetros de configuración del servidor LDAP:

Parámetro Descripción
Nombre Nombre del servidor LDAP en la configuración de Zabbix.
Equipo Nombre de host, IP o URI del servidor LDAP. Ejemplos: ldap.example.com, 127.0.0.1, ldap://ldap.example.com
Para un servidor LDAP seguro, utilice el protocolo ldaps y el nombre de host. Ejemplo: ldaps://ldap.example.com
Con OpenLDAP 2.x.x y posteriores, se puede utilizar una URI LDAP completa de la forma ldap://hostname:port o ldaps://hostname:port.
Puerto Puerto del servidor LDAP. El valor predeterminado es 389.
Para una conexión LDAP segura, el número de puerto normalmente es 636.
No se utiliza cuando se usan URIs LDAP completas.
Base DN Ruta base a las cuentas de usuario en el servidor LDAP:
ou=Users,ou=system (para OpenLDAP),
DC=company,DC=com (para Microsoft Active Directory)
uid=%{user},dc=example,dc=com (para enlace directo de usuario, ver nota abajo)
Atributo de búsqueda Atributo de cuenta LDAP utilizado para la búsqueda:
uid (para OpenLDAP),
sAMAccountName (para Microsoft Active Directory)
Bind DN Cuenta LDAP para enlazar y buscar en el servidor LDAP, ejemplos:
uid=ldap_search,ou=system (para OpenLDAP),
CN=ldap_search,OU=user_group,DC=company,DC=com (para Microsoft Active Directory)
También se admite el enlace anónimo. Tenga en cuenta que el enlace anónimo potencialmente expone la configuración del dominio a usuarios no autorizados (información sobre usuarios, equipos, servidores, grupos, servicios, etc.). Por razones de seguridad, desactive los enlaces anónimos en los equipos LDAP y utilice acceso autenticado en su lugar.
Contraseña de enlace Contraseña LDAP de la cuenta para enlazar y buscar en el servidor LDAP.
Descripción Descripción del servidor LDAP.
Configurar aprovisionamiento JIT Marque esta casilla para mostrar opciones relacionadas con el aprovisionamiento JIT.
Configuración de grupo Seleccione el método de configuración de grupo:
memberOf - buscando usuarios y su atributo de pertenencia a grupo
groupOfNames - buscando grupos a través del atributo member
Tenga en cuenta que memberOf es preferible ya que es más rápido; use groupOfNames si su servidor LDAP no admite memberOf o se requiere filtrado de grupos.
Atributo de nombre de grupo Especifique el atributo para obtener el nombre del grupo de todos los objetos en el atributo memberOf (ver el campo Atributo de pertenencia a grupo de usuario)
El nombre del grupo es necesario para la asignación de grupos de usuarios.
Atributo de pertenencia a grupo de usuario Especifique el atributo que contiene información sobre los grupos a los que pertenece el usuario (por ejemplo, memberOf).
Por ejemplo, el atributo memberOf puede contener información como esta: memberOf=cn=zabbix-admin,ou=Groups,dc=example,dc=com
Este campo solo está disponible para el método memberOf.
Atributo de nombre de usuario Especifique el atributo que contiene el nombre del usuario.
Atributo de apellido de usuario Especifique el atributo que contiene el apellido del usuario.
Asignación de grupo de usuario Asigne un patrón de grupo de usuario LDAP a un grupo de usuario y rol de usuario de Zabbix.
Esto es necesario para determinar qué grupo/rol de usuario recibirá el usuario aprovisionado en Zabbix.
Haga clic en Agregar para añadir una asignación.
El campo Patrón de grupo LDAP admite comodines. El nombre del grupo debe coincidir con un grupo existente.
Si un usuario LDAP coincide con varios grupos de usuarios de Zabbix, el usuario se convierte en miembro de todos ellos.
Si un usuario coincide con varios roles de usuario de Zabbix, el usuario obtendrá el que tenga el nivel de permiso más alto entre ellos.
Asignación de tipo de medio Asigne los atributos de medios LDAP del usuario (por ejemplo, correo electrónico) a los medios de usuario de Zabbix para el envío de notificaciones.
Configuración avanzada Haga clic en la etiqueta Configuración avanzada para mostrar las opciones de configuración avanzada (ver abajo).
StartTLS Marque la casilla para utilizar la operación StartTLS al conectarse al servidor LDAP. La conexión fallará si el servidor no admite StartTLS.
StartTLS no se puede utilizar con servidores que usan el protocolo ldaps.
Filtro de búsqueda Defina una cadena personalizada al autenticar un usuario en LDAP. Se admiten los siguientes marcadores de posición:
%{attr} - nombre del atributo de búsqueda (uid, sAMAccountName)
%{user} - valor del nombre de usuario a autenticar
Por ejemplo, para realizar una búsqueda que distinga mayúsculas y minúsculas dentro de un entorno LDAP o Microsoft Active Directory que no distingue mayúsculas y minúsculas, la cadena se puede definir de la siguiente manera:
(%{attr}:caseExactMatch:=%{user}).
Si el filtro no se personaliza, LDAP utilizará el valor predeterminado: (%{attr}=%{user}).

Para configurar un servidor LDAP para enlace directo de usuario, agregue un atributo uid=%{user} al parámetro Base DN (por ejemplo, uid=%{user},dc=example,dc=com) y deje vacíos los parámetros BindDN y Contraseña de enlace. Al autenticar, el marcador de posición %{user} se reemplazará por el nombre de usuario introducido durante el inicio de sesión.

Los siguientes campos son específicos de "groupOfNames" como método de Configuración de grupo:

Parámetro Descripción
Base DN de grupo Ruta base a los grupos en el servidor LDAP.
Atributo de nombre de grupo Especifique el atributo para obtener el nombre del grupo en la ruta base especificada a los grupos.
El nombre del grupo es necesario para la asignación de grupos de usuarios.
Atributo de miembro de grupo Especifique el atributo que contiene información sobre los miembros del grupo en LDAP (por ejemplo, member).
Atributo de referencia Especifique el atributo de referencia para el filtro de grupo (ver el campo Filtro de grupo).
Luego use %{ref} en el filtro de grupo para obtener valores para el atributo especificado aquí.
Filtro de grupo Especifique el filtro para recuperar el grupo al que pertenece el usuario.
Por ejemplo, (member=uid=%{ref},ou=Users,dc=example,dc=com) coincidirá con "User1" si el atributo member del grupo es uid=User1,ou=Users,dc=example,dc=com y devolverá el grupo al que pertenece "User1".

En caso de problemas con los certificados, para que funcione una conexión LDAP segura (ldaps) puede ser necesario añadir una línea TLS_REQCERT allow al archivo de configuración /etc/openldap/ldap.conf. Esto puede disminuir la seguridad de la conexión al catálogo LDAP.

Se recomienda crear una cuenta LDAP separada (Bind DN) para realizar el enlace y la búsqueda en el servidor LDAP con privilegios mínimos en el LDAP en lugar de utilizar cuentas de usuario reales (utilizadas para iniciar sesión en la interfaz de Zabbix).
Este enfoque proporciona mayor seguridad y no requiere cambiar la Contraseña de enlace cuando el usuario cambia su propia contraseña en el servidor LDAP.
En la tabla anterior es el nombre de cuenta ldap_search.

Probar acceso

El botón Probar permite comprobar el acceso del usuario:

Parámetro Descripción
Usuario Nombre de usuario LDAP a probar (rellenado previamente con el nombre de usuario actual de la interfaz de Zabbix). Este nombre de usuario debe existir en el servidor LDAP.
Zabbix no activará la autenticación LDAP si no puede autenticar al usuario de prueba.
Contraseña de usuario Contraseña del usuario LDAP a probar.