13 Настройка Kerberos в Zabbix

Обзор

Аутентификация Kerberos может использоваться в веб-мониторинге и HTTP-элементах данных в Zabbix.

На этой странице описан пример настройки Kerberos для сервера Zabbix, чтобы выполнять веб-мониторинг www.example.com с использованием принципала Kerberos для процесса Zabbix в Debian/Ubuntu.

Настройка

1. Установите KDC и клиентские утилиты:

sudo apt update
sudo apt install krb5-kdc krb5-admin-server krb5-user

Во время установки пакетов ответьте на запросы, например:

Default Kerberos version 5 realm: EXAMPLE.COM
Kerberos servers for your realm: localhost (or your FQDN)
Administrative server for your Kerberos realm: localhost (or your FQDN)

2. Сопоставьте удобное имя узла (необязательно, для локального тестирования).

Отредактируйте /etc/hosts и добавьте запись для вашего DC и веб-сервера, если у вас нет DNS:

sudo vi /etc/hosts

Пример строки, которую можно добавить:

192.168.1.100  dc01.example.com dc01

3. Настройте клиент Kerberos и realm KDC:

sudo vi /etc/krb5.conf

Пример настроек:

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_realm = false
    dns_lookup_kdc = false
    rdns = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true

[realms]
    EXAMPLE.COM = {
        kdc = dc01.example.com
        admin_server = dc01.example.com
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

Если вы планируете использовать .localdomain или другие непубличные имена, добавьте явные сопоставления domain→realm, чтобы сопоставление hostname→realm работало корректно.
Несоответствия здесь вызывают ошибки Server not found in Kerberos database.

4. Инициализируйте базу данных Kerberos (однократно, на узле KDC).
При появлении запроса задайте надежный мастер-пароль:

sudo krb5_newrealm

5. Создайте principal HTTP/host.fqdn@REALM, используя точное имя узла, которое будут использовать клиенты; предпочтительно в нижнем регистре (например, HTTP/[email protected]).
Несоответствие регистра/имени вызывает Server not found in Kerberos database.

sudo kadmin.local

Внутри kadmin.local:

addprinc [email protected]     # administrative principal
addprinc -randkey HTTP/[email protected]
ktadd -k /etc/apache2/http.keytab HTTP/[email protected]
quit

Переместите keytab на веб-узел сети (или оставьте локально, если это одна и та же машина) и задайте права, позволяющие Apache использовать его:

chown www-data:www-data /etc/apache2/http.keytab
chmod 600 /etc/apache2/http.keytab
# verify
sudo -u www-data -k /etc/apache2/http.keytab

6. Установите и включите модуль Apache GSSAPI:

sudo apt install libapache2-mod-auth-gssapi
sudo a2enmod auth_gssapi
sudo a2enmod headers
sudo systemctl restart apache2

7. Настройте VirtualHost (скорректируйте DocumentRoot / путь к вашему пользовательскому интерфейсу Zabbix):

sudo vi /etc/apache2/sites-available/zabbix.conf

Внутри zabbix.conf:

<VirtualHost *:80>
    ServerName dc01.example.com
    DocumentRoot /usr/share/zabbix/ui
    <Directory /usr/share/zabbix/ui>
        Options FollowSymLinks
        AllowOverride None
        Require all granted
        AuthType GSSAPI
        AuthName "Kerberos Login"
        GssapiCredStore keytab:/etc/apache2/http.keytab
        GssapiLocalName On
        Require valid-user
    </Directory>
    RequestHeader set X-Remote-User %{REMOTE_USER}s env=REMOTE_USER
    RequestHeader unset Authorization
</VirtualHost>

Перезапустите Apache:

sudo systemctl restart apache2

8. Включите/запустите службы KDC и проверьте прослушиваемые порты (узел KDC):

sudo systemctl enable --now krb5-kdc krb5-admin-server
ss -tnlp | grep :80    # or: sudo netstat -tnlp | grep :80

9. Получите TGT для тестирования (запускайте от имени пользователя, который будет использовать билет).

Ожидается, что в списке билетов будет krbtgt/[email protected].
Запускайте kinit от имени того же пользователя ОС, которому нужен билет (например, zabbix для веб-проверок или www-data/Apache для интерактивных тестов SSO в браузере).
Билеты, выданные другому пользователю ОС, не будут видны, если не настроены KRB5CCNAME и соответствующие права доступа.

kinit [email protected]
klist

10. Проверьте обмен SPNEGO с помощью curl (с клиента с действительным TGT).
Ответ 200 OK (или перенаправление в приложение) означает, что SPNEGO выполнен успешно:

curl -v --negotiate -u : http://dc01.example.com/

11. При необходимости, если пользовательский интерфейс Zabbix должен принимать входы, аутентифицированные по HTTP, включите HTTP-аутентификацию во веб-интерфейсе Zabbix (ui/conf/zabbix.conf.php):

$ALLOW_HTTP_AUTH = true;

В веб-интерфейсе перейдите в Users > Authentication и откройте вкладку HTTP settings.
Установите флажок Enable HTTP authentication и нажмите Ok во всплывающем окне.
Выберите "HTTP login form" в выпадающем списке Default login form.
Определите, соответствует ли параметр Case-sensitive login политике вашего каталога.
Нажмите кнопку Update для завершения.

12. Настройка браузера (в качестве примера используется Firefox): установите network.negotiate-auth.trusted-uris в значение узла(ов), выполняющих Negotiate (dc01.example.com), чтобы браузер автоматически отправлял токены Kerberos.

Внутри about:config:

network.negotiate-auth.trusted-uris = dc01.example.com

Теперь при переходе на http://dc01.example.com вы должны сразу входить в Zabbix без формы входа.

13. Поддерживайте ключи/билеты в актуальном состоянии.
Стандартное время жизни билета Kerberos составляет примерно 10 часов.
Добавьте cron/systemd timer, чтобы избежать истечения срока действия:

#for the web service
kinit -kt /etc/apache2/http.keytab HTTP/[email protected]
#for the monitoring user
kinit -kt /var/lib/zabbix/kerb.keytab [email protected]

14. Проверки обслуживания:

• klist -k /etc/apache2/http.keytab — убедитесь, что service principal присутствует в keytab.
• sudo tail -f /var/log/apache2/error.log — отслеживайте ошибки GSSAPI (gss_acquire_cred[_from]() failed to get server creds означает проблему с keytab/правами или отсутствие principal).
• Возврат 401/403 от curl --negotiate часто означает неверный principal, отсутствие билета, несоответствие заголовка host или проблему с правами доступа к файловой системе; проверьте журналы и сопоставления доменов в /etc/krb5.conf.

Примечания по безопасности и правам доступа к файлам

Файлы keytab должны быть доступны для чтения только той учетной записи, которой они необходимы. Примеры прав доступа: 0400 с владельцем zabbix:zabbix для keytab пользователя zabbix или 0440 и root:www-data для keytab Apache.

Избегайте хранения на узле сети долгоживущих паролей в открытом виде. По возможности используйте keytab или машинные субъекты безопасности, присоединенные к домену.

При запуске тестов или сценариев, которые задают KRB5CCNAME или копируют keytab, повторно проверяйте владельца и права доступа после выполнения операции — отказ веб-сервера принимать учетные данные часто связан именно с проблемой прав доступа к файлу.