13 Настройка Kerberos в Zabbix

Обзор

Аутентификация Kerberos может использоваться в веб-мониторинге и HTTP-элементах данных в Zabbix.

На этой странице описан пример настройки Kerberos для сервера Zabbix, чтобы выполнять веб-мониторинг www.example.com с использованием принципала Kerberos для процесса Zabbix в Debian/Ubuntu.

Конфигурация

1. Установите KDC и клиентские утилиты:

sudo apt update
sudo apt install krb5-kdc krb5-admin-server krb5-user

Во время настройки пакетов отвечайте на запросы, например:

Default Kerberos version 5 realm: EXAMPLE.COM
Kerberos servers for your realm: localhost (or your FQDN)
Administrative server for your Kerberos realm: localhost (or your FQDN)

2. Сопоставьте понятное имя хоста (необязательно, для локального тестирования).

Отредактируйте /etc/hosts и добавьте запись для вашего DC и веб-сервера, если у вас нет DNS:

sudo vi /etc/hosts

Пример строки, которую можно добавить:

192.168.1.100  dc01.example.com dc01

3. Настройте клиент Kerberos и realm KDC:

sudo vi /etc/krb5.conf

Пример настроек:

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_realm = false
    dns_lookup_kdc = false
    rdns = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true

[realms]
    EXAMPLE.COM = {
        kdc = dc01.example.com
        admin_server = dc01.example.com
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

Если вы планируете использовать .localdomain или другие непубличные имена, добавьте явные сопоставления domain→realm, чтобы работало сопоставление hostname→realm. Несоответствия здесь вызывают ошибки Server not found in Kerberos database.

4. Инициализируйте базу данных Kerberos (один раз, на хосте KDC). При запросе задайте надежный мастер-пароль:

sudo krb5_newrealm

5. Создайте principal HTTP/host.fqdn@REALM, используя точное имя хоста, которое будут использовать клиенты; предпочтительно в нижнем регистре (например, HTTP/[email protected]). Несоответствие регистра/имени вызывает Server not found in Kerberos database.

sudo kadmin.local

Внутри kadmin.local:

addprinc [email protected]     # administrative principal
addprinc -randkey HTTP/[email protected]
ktadd -k /etc/apache2/http.keytab HTTP/[email protected]
quit

Переместите keytab на веб-хост (или оставьте локально, если это та же машина) и задайте права, пригодные для Apache:

chown www-data:www-data /etc/apache2/http.keytab
chmod 600 /etc/apache2/http.keytab
# verify
sudo -u www-data -k /etc/apache2/http.keytab

6. Установите и включите модуль Apache GSSAPI:

sudo apt install libapache2-mod-auth-gssapi
sudo a2enmod auth_gssapi
sudo a2enmod headers
sudo systemctl restart apache2

Не все версии mod_auth_gssapi поддерживают каждую директиву Gssapi*. Если Apache завершается с ошибкой Invalid command 'GssapiCredStore', удалите неподдерживаемую директиву или обновите модуль.

7. Настройте VirtualHost (при необходимости скорректируйте DocumentRoot / путь к вашему веб-интерфейсу Zabbix):

sudo vi /etc/apache2/sites-available/zabbix.conf

Внутри zabbix.conf:

<VirtualHost *:80>
    ServerName dc01.example.com
    DocumentRoot /usr/share/zabbix/ui
    <Directory /usr/share/zabbix/ui>
        Options FollowSymLinks
        AllowOverride None
        Require all granted
        AuthType GSSAPI
        AuthName "Kerberos Login"
        GssapiCredStore keytab:/etc/apache2/http.keytab
        GssapiLocalName On
        Require valid-user
    </Directory>
    RequestHeader set X-Remote-User %{REMOTE_USER}s env=REMOTE_USER
    RequestHeader unset Authorization
</VirtualHost>

Перезапустите Apache:

sudo systemctl restart apache2

8. Включите/запустите службы KDC и проверьте прослушиваемые порты (хост KDC):

sudo systemctl enable --now krb5-kdc krb5-admin-server
ss -tnlp | grep :80    # or: sudo netstat -tnlp | grep :80

9. Получите TGT для тестирования (запускайте от имени пользователя, который будет использовать билет).

Ожидайте увидеть krbtgt/[email protected] в списке билетов. Запускайте kinit от имени того же пользователя ОС, которому нужен билет (например, zabbix для проверок веба или www-data/Apache для интерактивных тестов SSO в браузере). Билеты, выданные другому пользователю ОС, не будут видны, если не настроены KRB5CCNAME и права доступа.

kinit [email protected]
klist

10. Проверьте обмен SPNEGO с помощью curl (с клиента с действительным TGT). Ответ 200 OK (или перенаправление в приложение) означает, что SPNEGO успешно выполнен:

curl -v --negotiate -u : http://dc01.example.com/

11. При необходимости, если веб-интерфейс Zabbix должен принимать входы с HTTP-аутентификацией, включите HTTP-аутентификацию в веб-интерфейсе Zabbix (ui/conf/zabbix.conf.php):

$ALLOW_HTTP_AUTH = true;

В веб-интерфейсе перейдите в Users > Authentication и откройте вкладку HTTP settings. Отметьте флажок Enable HTTP authentication и нажмите Ok во всплывающем окне. Выберите "HTTP login form" в раскрывающемся списке Default login form. Решите, подходит ли Case-sensitive login для политики вашего каталога. Нажмите кнопку Update, чтобы завершить.

12. Настройка браузера (Firefox используется в качестве примера): задайте network.negotiate-auth.trusted-uris для хоста(ов), выполняющих Negotiate (dc01.example.com), чтобы браузер автоматически отправлял Kerberos-токены.

Внутри about:config:

network.negotiate-auth.trusted-uris = dc01.example.com

Теперь при переходе на http://dc01.example.com вы должны сразу попасть в Zabbix без формы входа.

13. Поддерживайте ключи/билеты в актуальном состоянии. По умолчанию срок действия Kerberos-билета составляет примерно 10 часов. Добавьте cron/systemd timer, чтобы избежать истечения срока действия:

#for the web service
kinit -kt /etc/apache2/http.keytab HTTP/[email protected]
#for the monitoring user
kinit -kt /var/lib/zabbix/kerb.keytab [email protected]

14. Проверки обслуживания:

  • klist -k /etc/apache2/http.keytab — проверьте, что service principal присутствует в keytab.
  • sudo tail -f /var/log/apache2/error.log — отслеживайте ошибки GSSAPI (gss_acquire_cred[_from]() failed to get server creds означает проблему с keytab/правами доступа или отсутствие principal).
  • Если curl --negotiate возвращает 401/403, это часто означает неверный principal, отсутствие билета, несоответствие Host header или проблему с правами файловой системы; проверьте журналы и сопоставления доменов в /etc/krb5.conf.

Примечания по безопасности и правам доступа к файлам

Файлы keytab должны быть доступны для чтения только той учетной записи, которой они необходимы. Примеры прав доступа: 0400 с владельцем zabbix:zabbix для keytab пользователя zabbix или 0440 и root:www-data для keytab Apache.

Избегайте хранения на узле сети долгоживущих паролей в открытом виде. По возможности используйте keytab или машинные субъекты безопасности, присоединенные к домену.

При запуске тестов или сценариев, которые задают KRB5CCNAME или копируют keytab, повторно проверяйте владельца и права доступа после выполнения операции — отказ веб-сервера принимать учетные данные часто связан именно с проблемой прав доступа к файлу.