ユーザーマニュアル

2 クイックスタートガイド

基本設定

1 ログインとユーザーの設定

2 新しいホスト

3 新しいアイテム

4 新しいトリガー

5 問題通知の受信

6 新しいテンプレート

Apache Webサーバーの監視

Linuxサーバーの監視

MySQLサーバーの監視

3 インストール: 追加ガイド

コンテナからのインストール

ソースからのインストール

パッケージからのインストールに関する注意

MSIからのWindowsエージェントのインストール

WindowsでのZabbix agent 2のビルド

WindowsでのZabbixエージェントのビルド

PKGからのmacOSエージェントのインストール

macOSでのZabbixエージェントのビルド

4 アップグレード

アップグレードの問題

コンテナからのアップグレード

ソースからのアップグレード

パッケージからのアップグレード

Debian/Ubuntu

Red Hat Enterprise Linux

5 Zabbix 8.0 のアップグレードに関する注意事項

Zabbix 8.0.x のアップグレードノート

テンプレートの変更

既知の問題

要件

2 Zabbix 8.0の新機能

Zabbix 8.0.x の新機能

3 Zabbixアプライアンス

4 Zabbixプロセス

サーバー

高可用性

設定パラメーター: Zabbix サーバー

プロキシ

設定パラメーター: Zabbix プロキシ

エージェント

設定パラメーター: Zabbix エージェント

設定パラメーター: Zabbix エージェント (Windows)

エージェント 2

エージェント vs agent 2 の比較

組み込みプラグイン

ロード可能なプラグイン

設定パラメーター: Zabbix エージェント 2

設定パラメーター: Zabbix エージェント 2 (Windows)

設定パラメータ: プラグイン

Cephプラグイン

Dockerプラグイン

Ember+プラグイン

MQTTプラグイン

MSSQLプラグイン

Memcachedプラグイン

Modbusプラグイン

MongoDBプラグイン

MySQLプラグイン

NVIDIA GPUプラグイン

Oracleプラグイン

PostgreSQLプラグイン

Redisプラグイン

SMARTプラグイン

Javaゲートウェイ

設定パラメーター: Zabbix Javaゲートウェイ

Debian/Ubuntuパッケージからのセットアップ

RHELパッケージからのセットアップ

ソースからのセットアップ

送信者

取得

Webサービス

設定パラメーター: Zabbix web service

5 設定

1 ホストとホストグループ

1 ホストウィザード

2 ホストの設定

3 ホストグループの設定

4 インベントリ

5 一括更新

2 アイテム

1 アイテムの作成

1 アイテムキーのフォーマット

2 監視間隔のカスタマイズ

2 アイテムの値の保存前処理

1 保存前処理のテスト

2 保存前処理の詳細

3 保存前処理の例

4 JSONPath機能

1 JSONPathのLLDマクロ値からの特殊文字のエスケープ

5 JavaScriptの保存前処理

1 追加のJavaScriptオブジェクト

2 ブラウザアイテムのJavaScriptオブジェクト

6 CSVからJSONへの保存前処理

3 アイテムのタイプ

1 Zabbix エージェント

1 Zabbixエージェント2

2 Windows Zabbixエージェント

3 ログファイルの監視

2 シンプルチェック

1 VMware監視アイテムキー

3 SNMP エージェント

1 ダイナミックインデックス

2 特殊なOID

3 MIB ファイル

4 SNMPトラップ

5 Zabbix内部

6 Zabbix trapper

7 外部チェック

8 データベースモニター

9 HTTPエージェント

1 Prometheusチェック

10 IPMI エージェント

11 SSH エージェント

12 Telnet エージェント

13 JMX エージェント

14 計算アイテム

15 従属アイテム

16 スクリプトアイテム

17 ブラウザーアイテム

4 ヒストリとトレンド

5 ユーザーパラメーター

1 Zabbixエージェントの機能拡張

6 Windows パフォーマンスカウンタ

7 一括アップデート

8 値のマッピング

9 キュー

10 バリューキャッシュ

11 即時実行

12 エージェントチェックの制限

3 トリガーによる障害検知

1 トリガーの例

2 トリガーの設定

3 トリガーの式

1 集計関数

Foreach関数

2 ビット演算関数

3 日付と時刻の関数

4 履歴関数

5 トレンド関数

6 数学関数

7 演算子関数

8 予測関数

予測トリガー関数

9 文字列関数

4 トリガーのベストプラクティス

トリガーの依存関係

トリガーの深刻度

4 イベント

1 トリガーイベントの生成

2 その他のイベントソース

3 問題の手動クローズ

5 イベント相関

1 トリガーによるイベント相関

2 グローバルイベント相関

6 タグ付け

7 可視化

1 グラフ

1 シンプルグラフ

2 カスタムグラフ

3 アドホックグラフ

2 ネットワークマップ

1 ネットワークマップの設定

2 ホストグループの構成要素

3 リンクインジケーター

3 ダッシュボード

8 テンプレートとテンプレートグループ

1 テンプレートの設定

2 テンプレートグループの設定

3 リンク作成/リンク削除

4 ネスト

5 一括アップデート

9 すぐに使えるテンプレート

1 Zabbix エージェントテンプレートの運用

2 Zabbix エージェント 2 テンプレートの運用

3 HTTPテンプレートの運用

4 IPMIテンプレートの操作

5 JMXテンプレートの運用

6 ODBCテンプレートの運用

7 ネットワークデバイス用の標準テンプレート

8 VMwareテンプレートの操作

10 イベント時の通知

1 メディアタイプ

1 E-mail

1 自動化されたGmail/Office365メディアタイプ

2 SMS

3 カスタムアラートスクリプト

4 Webhook

1 Webhookスクリプトの例

2 アクション

1 アクション

2 実行内容

1 メッセージの送信

2 リモートコマンド

3 追加操作

4 メッセージでのマクロ使用

3 復旧時実行

4 更新時実行

5 エスカレーション

unsupported_item.md

11 マクロ

1 マクロ関数

2 ユーザーマクロ

3 コンテキストユーザーマクロ

4 Secretユーザーマクロ

5 ローレベルディスカバリマクロ

6 式マクロ

12 ユーザーとユーザーグループ

1 ユーザの設定

2 ユーザー権限

3 ユーザグループ

13 secrets の保存

1 CyberArkの設定

2 HashiCorpの設定

14 スケジュールレポート

15 データのエクスポート

1 ファイルにエクスポート

2 外部システムへのストリーミング

3 SNMPゲートウェイ

16 設定のベストプラクティス

6 サービス監視

1 サービストリー

2 SLA

3 セットアップ例

7 Web監視

1 Web監視アイテム

2 実際のシナリオ

8 仮想マシンの監視

1 VMware監視アイテムキー

2 仮想マシンディスカバリキーフィールド

3 VMwareアイテムのJSONの例

4 VMware監視設定例

9 メンテナンス

10 正規表現

11 問題の認識

1 障害の抑制

12 設定のエクスポート/インポート

1 テンプレートグループ

2 ホストグループ

3 テンプレート

4 ホスト

5 ネットワークマップ

6 メディアタイプ

7 ダッシュボード

13 ディスカバリ

1 ネットワークディスカバリ

1 ネットワークディスカバリルールの設定

2 アクティブエージェントの自動登録

3 ローレベルディスカバリ

1 アイテムプロトタイプ

2 トリガープロトタイプ

3 グラフのプロトタイプ

4 ホストプロトタイプ

5 ディスカバリのプロトタイプ

6 ローレベルディスカバリに関する注意点

7 ディスカバリルール

1 ファイルシステムマウントの検出

2 ネットワークインターフェースのディスカバリ

3 CPUおよびCPUコアのディスカバリ

4 SNMP OIDsの検出

5 SNMP OIDsの検出 (legacy)

6 JMXオブジェクトの検出

7 IPMIセンサーの検出

8 systemdサービスの検出

9 Windowsサービスの検出

10 Windowsパフォーマンスカウンターインスタンスの検出

11 WMIクエリを使用した検出

12 ODBC SQLクエリを使用した検出

13 Prometheusデータを使用した検出

14 ブロックデバイスの検出

15 Zabbixでのホストインターフェース検出

8 カスタムLLDルール

14 分散監視

1 プロキシ

1 監視設定の同期

2 プロキシの負荷分散と高可用性

15 暗号化

1 証明書の利用

2 事前共有鍵の使用

3 トラブルシューティング

1 接続タイプまたは権限の問題

2 証明書の問題

3 PSKの問題

16 Webインターフェース

1 メニュー

1 イベントメニュー

2 ホストメニュー

3 アイテムメニュー

2 Webインターフェースセクション

1 ダッシュボード

1 ダッシュボードウィジェット

2 ダッシュボードウィジェットのパラメータ

1 アクションログ

2 時計

3 ディスカバリーステータス

4 お気に入りグラフ

5 お気に入りのマップ

6 ゲージ

7 Geomap

8 グラフ

9 グラフ（クラシック）

10 グラフのプロトタイプ

11 ハニカム

12 ホスト稼働状況

13 ホストカード

14 ホストナビゲーター

15 アイテムカード

16 アイテム履歴

17 アイテムナビゲーター

18 アイテム値

19 マップ

20 マップナビゲーションツリー

21 円グラフ

22 問題のあるホスト

23 問題

24 問題の深刻度別

25 散布図

26 SLAレポート

27 システム情報

28 トップホスト

29 トップアイテム

30 トップトリガー

31 トリガーの概要

32 URL

33 Web監視

2 監視データ

1 障害

1 原因と症状の障害

2 ホスト

1 グラフ

2 ホストダッシュボード

3 Webシナリオ

3 最新データ

4 マップ

5 ディスカバリ

3 サービス

1 サービス

2 SLA

3 SLAレポート

4 インベントリ

1 概要

2 ホスト

5 レポート

1 システム情報

2 定期レポート

3 稼働レポート

4 障害発生数上位100トリガー

5 監査ログ

6 アクションログ

7 通知レポート

6 データ収集

1 テンプレートグループ

2 ホストグループ

3 テンプレート

1 アイテム

2 トリガー

3 グラフ

4 ディスカバリルール

1 アイテムのプロトタイプ

2 トリガーのプロトタイプ

3 グラフのプロトタイプ

4 ホストのプロトタイプ

5 ディスカバリのプロトタイプ

5 Webシナリオ

4 ホスト

1 アイテム

2 トリガー

3 グラフ

4 ディスカバリルール

1 アイテムのプロトタイプ

2 トリガーのプロトタイプ

3 グラフのプロトタイプ

4 ホストのプロトタイプ

5 ディスカバリのプロトタイプ

5 Webシナリオ

5 メンテナンス

6 イベント相関関係

7 ディスカバリ

7 アラート

1 アクション

2 メディアタイプ

3 スクリプト

8 ユーザー

1 ユーザーグループ

2 ユーザーの役割

3 ユーザー

4 APIトークン

5 認証

1 HTTP

2 LDAP

3 SAML

4 MFA

9 管理

1 一般設定

2 監査ログ

3 ハウスキーピング

4 プロキシ

5 プロキシグループ

6 マクロ

7 キュー

3 ユーザー設定

1 グローバル通知

2 ブラウザのサウンド

4 グローバル検索

5 フロントエンドメンテナンスモード

6 ページパラメーター

7 定義

8 独自テーマ作成

9 デバッグモード

10 Zabbix用Cookie

11 タイムゾーン

12 パスワードのリセット

13 時間帯とホストセレクター

17 セキュリティのベストプラクティス

1 アクセス制御

1 MySQL/MariaDB の保護

2 PostgreSQL/TimescaleDB の保護

2 暗号学

3 Webサーバー

18 API

メソッドリファレンス

API info

apiinfo.version

Alert

Alertオブジェクト

alert.get

Authentication

Authenticationオブジェクト

authentication.get

authentication.update

Autoregistration

Autoregistrationオブジェクト

autoregistration.get

autoregistration.update

Configuration

configuration.export

configuration.import

configuration.importcompare

Connector

Connectorオブジェクト

connector.create

connector.delete

connector.get

connector.update

Graph

Graphオブジェクト

graph.create

graph.delete

graph.get

graph.update

Housekeeping

Housekeepingオブジェクト

housekeeping.get

housekeeping.update

Image

Imageオブジェクト

image.create

image.delete

image.get

image.update

LLDルール

LLD ruleオブジェクト

discoveryrule.create

discoveryrule.delete

discoveryrule.get

discoveryrule.update

LLDルールのプロトタイプ

LLDルールプロトタイプオブジェクト

discoveryruleprototype.create

discoveryruleprototype.delete

discoveryruleprototype.get

discoveryruleprototype.update

MFA

MFAオブジェクト

mfa.create

mfa.delete

mfa.get

mfa.update

Module

Moduleオブジェクト

module.create

module.delete

module.get

module.update

Proxy

Proxyオブジェクト

proxy.create

proxy.delete

proxy.get

proxy.update

SLA

SLAオブジェクト

sla.create

sla.delete

sla.get

sla.getsli

sla.update

Settings

Settingsオブジェクト

settings.get

settings.update

Token

Tokenオブジェクト

token.create

token.delete

token.generate

token.get

token.update

User

Userオブジェクト

user.checkAuthentication

user.create

user.delete

user.get

user.login

user.logout

user.provision

user.resettotp

user.unblock

user.update

Webシナリオ

Web scenarioオブジェクト

httptest.create

httptest.delete

httptest.get

httptest.update

アイコンマップ

Icon mapオブジェクト

iconmap.create

iconmap.delete

iconmap.get

iconmap.update

アイテム

Itemオブジェクト

item.create

item.delete

item.get

item.update

アイテムプロトタイプ

Item prototypeオブジェクト

itemprototype.create

itemprototype.delete

itemprototype.get

itemprototype.update

アクション

Actionオブジェクト

action.create

action.delete

action.get

action.update

イベント

Eventオブジェクト

event.acknowledge

event.get

グラフアイテム

Graph itemオブジェクト

graphitem.get

グラフプロトタイプ

Graph prototypeオブジェクト

graphprototype.create

graphprototype.delete

graphprototype.get

graphprototype.update

サービス

Serviceオブジェクト

service.create

service.delete

service.get

service.update

スクリプト

Scriptオブジェクト

script.create

script.delete

script.execute

script.get

script.getscriptsbyevents

script.getscriptsbyhosts

script.update

タスク

タスクオブジェクト

task.create

task.get

ダッシュボード

Dashboardオブジェクト

dashboard.create

dashboard.delete

dashboard.get

dashboard.update

Dashboard widget fields

1 Action log

2 Clock

3 Discovery status

4 Favorite graphs

5 Favorite maps

6 Gauge

7 Geomap

8 Graph

9 Graph (classic)

10 Graph prototype

11 Honeycomb

12 Host availability

13 Host card

14 Host navigator

15 アイテムカード

16 アイテムの履歴

17 アイテムナビゲーター

18 アイテム値

19 マップ

20 マップナビゲーションツリー

21 パイチャート

22 問題のあるホスト

23 問題

24 問題の深刻度別

25 散布図

26 SLAレポート

27 システム情報

28 トップホスト

29 トップアイテム

30のトップトリガー

31 トリガーの概要

32 URL

33 Web監視

テンプレート

Templateオブジェクト

template.create

template.delete

template.get

template.massadd

template.massremove

template.update

テンプレートグループ

Template groupオブジェクト

templategroup.create

templategroup.delete

templategroup.get

templategroup.massadd

templategroup.massremove

templategroup.propagate

templategroup.update

テンプレートダッシュボード

Template dashboardオブジェクト

templatedashboard.create

templatedashboard.delete

templatedashboard.get

templatedashboard.update

ディスカバリチェック

Discovery checkオブジェクト

dcheck.get

ディスカバリルール

Discovery ruleオブジェクト

drule.create

drule.delete

drule.get

drule.update

トリガー

Triggerオブジェクト

trigger.create

trigger.delete

trigger.get

trigger.update

トリガープロトタイプ

トリガープロトタイプオブジェクト

triggerprototype.create

triggerprototype.delete

triggerprototype.get

triggerprototype.update

トレンド

Trendオブジェクト

trend.get

プロキシグループ

Proxy groupオブジェクト

proxygroup.create

proxygroup.delete

proxygroup.get

proxygroup.update

ホスト

Hostオブジェクト

host.create

host.delete

host.get

host.massadd

host.massremove

host.update

ホストインターフェース

Host interfaceオブジェクト

hostinterface.create

hostinterface.delete

hostinterface.get

hostinterface.massadd

hostinterface.massremove

hostinterface.update

ホストグループ

Host groupオブジェクト

hostgroup.create

hostgroup.delete

hostgroup.get

hostgroup.massadd

hostgroup.massremove

hostgroup.propagate

hostgroup.update

ホストプロトタイプ

Host prototypeオブジェクト

hostprototype.create

hostprototype.delete

hostprototype.get

hostprototype.update

マップ

Mapオブジェクト

map.create

map.delete

map.get

map.update

メディアタイプ

Media typeオブジェクト

mediatype.create

mediatype.delete

mediatype.get

mediatype.update

メンテナンス

Maintenanceオブジェクト

maintenance.create

maintenance.delete

maintenance.get

maintenance.update

ユーザーグループ

User groupオブジェクト

usergroup.create

usergroup.delete

usergroup.get

usergroup.update

ユーザーディレクトリ

User directoryオブジェクト

userdirectory.create

userdirectory.delete

userdirectory.get

userdirectory.test

userdirectory.update

ユーザーマクロ

User macroオブジェクト

usermacro.create

usermacro.createglobal

usermacro.delete

usermacro.deleteglobal

usermacro.get

usermacro.update

usermacro.updateglobal

レポート

Reportオブジェクト

report.create

report.delete

report.get

report.update

ロール

Roleオブジェクト

role.create

role.delete

role.get

role.update

値マップ

Value mapオブジェクト

valuemap.create

valuemap.delete

valuemap.get

valuemap.update

履歴

Historyオブジェクト

history.clear

history.get

history.push

検出されたサービス

Discovered serviceオブジェクト

dservice.get

検出されたホスト

Discovered hostオブジェクト

dhost.get

正規表現

Regular expressionオブジェクト

regexp.create

regexp.delete

regexp.get

regexp.update

監査ログ

Audit logオブジェクト

auditlog.get

相関関係

Correlationオブジェクト

correlation.create

correlation.delete

correlation.get

correlation.update

障害

Problemオブジェクト

problem.get

高可用性ノード

High availability nodeオブジェクト

hanode.get

付録1. 参考文献の解説

付録2. 7.4から8.0への変更点

付録3. 8.0の変更点

19 拡張機能

1 ローダブルモジュール

2 Webインターフェースモジュール

20 付録

1 インストールとセットアップ

1 データベースの作成

2 Zabbixデータベースのキャラクターセットと照合の修正

3 プライマリキーへのデータベースのアップグレード

4 監査ログテーブルのパーティション化の準備

5 データベースへの安全な接続

1 MySQLの暗号化設定

2 PostgreSQLの暗号化設定

6 フロントエンドへのセキュアな接続

7 TimescaleDBのセットアップ

8 Elasticsearchのセットアップ

9 Zabbix用Nginxのセットアップに関するディストリビューション固有の注意事項

10 rootとしてエージェントを実行する

11 Microsoft Windows上のZabbixエージェント

12 Microsoft Entra ID での SAML 設定

13 OktaによるSAMLのセットアップ

14 OneLoginでのSAML設定

15 定期レポートの設定

16 追加のフロントエンド言語

2 プロセス設定

1 環境変数

2 含有

3 プロトコル

1 サーバープロキシデータ交換プロトコル

2 Zabbixエージェント/エージェント2のプロトコル

4 Zabbixエージェント2プラグインプロトコル

5 Zabbix senderプロトコル

6 ヘッダー

7 改行区切りJSONエクスポートプロトコル

4 アイテム

1 vm.memory.sizeパラメーター

2 パッシブおよびアクティブエージェントチェック

3 Windowsエージェントアイテムの最小アクセス許可レベル

4 戻り値のエンコード

5 大容量ファイルのサポート

6 センサー

7 proc.memアイテムのmemtypeパラメーターに関する注意

8 proc.memおよびproc.numアイテムでのプロセスの選択に関する注意

9 net.tcp.serviceおよびnet.udp.serviceチェックの実装の詳細

10 proc.getパラメーター

11 到達不能/使用不可のホストインターフェース設定

12 Zabbix統計のリモート監視

13 Zabbixを使用したKerberosの設定

14 modbus.getパラメーター

15 VMwareのカスタムパフォーマンスカウンター名作成

16 system.sw.packages.getの戻り値

17 net.dns.getの戻り値

18 net.if.get の戻り値

19 vfs.dev.get の戻り値

21 大きな JSON 値のサポート

Windows 上の system.cpu.util アイテムに関する 20 の注意事項

5 サポートされている関数

6 マクロ

1 ロケーションでサポートされているマクロ

2 ロケーションでサポートされているユーザーマクロ

7 単位記号

8 日時フォーマット

9 コマンドの実行

10 バージョン間の互換性

11 Windows用Zabbix senderダイナミックリンクライブラリ

12 サービス監視のアップグレード

13 その他の問題

14 エスケープの例

21 クイックリファレンスガイド

1 ZabbixエージェントでLinuxを監視する

2 ZabbixエージェントでWindowsを監視する

3 HTTP経由でApacheを監視する

4 Zabbixエージェント2でMySQLを監視する

5 ZabbixでVMwareを監視する

6 Zabbixでネットワークトラフィックを監視する

7 アクティブチェックを使用してネットワークトラフィックを監視する

8 ブラウザアイテムでウェブサイトの監視

9 Zabbixエージェント2(パッシブ)でWebサイトの証明書を監視する

10 Zabbixでネットワークスイッチやルーターを監視する

11 アクティブチェックを使用してWindowsイベントログを監視する

Zabbixとは

Zabbix Cloud

クラウドでZabbixをデプロイする

ノード設定

ユーザーの追加

Zabbix Cloudの主な違い

監査ログ

開発者センター

プラグインの作成

プラグインインターフェース

Zabbix用Pythonライブラリ

インストール

クイックスタートガイド

Zabbix APIの使用

Zabbixエージェントからデータを収集する

Zabbixサーバーまたはプロキシへのデータ送信

デバッグログ

モジュール

モジュールファイルの構造

manifest.json

アクション

ビュー

アセット

新しいモジュールの登録

ウィジェット

設定

プレゼンテーション

チュートリアル

モジュールの作成 (チュートリアル)

ウィジェットの作成 (チュートリアル)

例

拡張機能開発における変更点

Zabbix manページ

zabbix_agent2

zabbix_agentd

zabbix_get

zabbix_js

zabbix_proxy

zabbix_sender

zabbix_server

zabbix_web_service

著作権表示

ユーザーマニュアル
20 付録
4 アイテム
13 Zabbixを使用したKerberosの設定

このページで

13 Zabbixを使用したKerberosの設定

13 Zabbixを使用したKerberosの設定

概要

Kerberos認証は、ZabbixのWeb監視やHTTPアイテムで使用できます。

このページでは、Debian/UbuntuでZabbixプロセス用のKerberosプリンシパルを使用して、Zabbixサーバーがwww.example.comのWeb監視を実行するためのKerberosの設定例について説明します。

設定

1. KDC とクライアントユーティリティをインストールします:

sudo apt update
sudo apt install krb5-kdc krb5-admin-server krb5-user

パッケージのセットアップ中に、たとえば次のようなプロンプトに回答します:

Default Kerberos version 5 realm: EXAMPLE.COM
Kerberos servers for your realm: localhost (or your FQDN)
Administrative server for your Kerberos realm: localhost (or your FQDN)

2. わかりやすいホスト名を割り当てます（任意、ローカルテスト用）。

DNS がない場合は /etc/hosts を編集して、DC と Webサーバーのエントリを追加します:

sudo vi /etc/hosts

追加する行の例:

192.168.1.100  dc01.example.com dc01

3. Kerberos クライアントと KDC の realm を設定します:

sudo vi /etc/krb5.conf

設定例:

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_realm = false
    dns_lookup_kdc = false
    rdns = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true

[realms]
    EXAMPLE.COM = {
        kdc = dc01.example.com
        admin_server = dc01.example.com
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

.localdomain やその他の公開されていない名前を使う予定がある場合は、ホスト名→realm の対応が機能するように、明示的な domain→realm マッピングを追加してください。
ここで不一致があると Server not found in Kerberos database エラーが発生します。

4. Kerberos データベースを初期化します（1回のみ、KDC ホスト上）。
プロンプトが表示されたら、安全なマスターパスワードを設定します:

sudo krb5_newrealm

5. HTTP/host.fqdn@REALM principal を、クライアントが実際に使用する正確なホスト名で作成します。小文字を推奨します（例: HTTP/[email protected]）。
大文字小文字や名前の不一致があると Server not found in Kerberos database になります。

sudo kadmin.local

kadmin.local 内で:

addprinc [email protected]     # administrative principal
addprinc -randkey HTTP/[email protected]
ktadd -k /etc/apache2/http.keytab HTTP/[email protected]
quit

keytab を Web ホストへ移動し（同一マシンならそのままでも可）、Apache が使用できる権限を設定します:

chown www-data:www-data /etc/apache2/http.keytab
chmod 600 /etc/apache2/http.keytab
# verify
sudo -u www-data -k /etc/apache2/http.keytab

6. Apache の GSSAPI モジュールをインストールして有効化します:

sudo apt install libapache2-mod-auth-gssapi
sudo a2enmod auth_gssapi
sudo a2enmod headers
sudo systemctl restart apache2

すべての mod_auth_gssapi バージョンが、すべての Gssapi* ディレクティブをサポートしているわけではありません。
Apache が Invalid command 'GssapiCredStore' で失敗する場合は、未対応のディレクティブを削除するか、モジュールをアップグレードしてください。

7. VirtualHost を設定します（DocumentRoot / Zabbix UI へのパスは適宜調整してください）:

sudo vi /etc/apache2/sites-available/zabbix.conf

zabbix.conf の内容:

<VirtualHost *:80>
    ServerName dc01.example.com
    DocumentRoot /usr/share/zabbix/ui
    <Directory /usr/share/zabbix/ui>
        Options FollowSymLinks
        AllowOverride None
        Require all granted
        AuthType GSSAPI
        AuthName "Kerberos Login"
        GssapiCredStore keytab:/etc/apache2/http.keytab
        GssapiLocalName On
        Require valid-user
    </Directory>
    RequestHeader set X-Remote-User %{REMOTE_USER}s env=REMOTE_USER
    RequestHeader unset Authorization
</VirtualHost>

Apache を再起動します:

sudo systemctl restart apache2

8. KDC サービスを有効化して起動し、待ち受けポートを確認します（KDC ホスト）:

sudo systemctl enable --now krb5-kdc krb5-admin-server
ss -tnlp | grep :80    # or: sudo netstat -tnlp | grep :80

9. テスト用に TGT を取得します（チケットを使用するユーザーとして実行します）。

チケット一覧に krbtgt/[email protected] が表示されるはずです。
kinit は、チケットが必要な同じ OS ユーザーで実行してください（例: Web チェック用の zabbix、または対話的なブラウザ SSO テスト用の www-data/Apache）。
別の OS ユーザーに発行されたチケットは、KRB5CCNAME と権限を調整しない限り表示されません。

kinit [email protected]
klist

10. curl で SPNEGO のやり取りをテストします（有効な TGT を持つクライアントから実行）。
200 OK（またはアプリへのリダイレクト）が返れば、SPNEGO は成功しています:

curl -v --negotiate -u : http://dc01.example.com/

11. 必要に応じて、Zabbix UI が HTTP 認証ログインを受け付けるようにします。Zabbix frontend の HTTP 認証を有効化します（ui/conf/zabbix.conf.php）:

$ALLOW_HTTP_AUTH = true;

Web UI で Users > Authentication に移動し、HTTP settings タブを開きます。
[Enable HTTP authentication] チェックボックスをオンにして、ポップアップで Ok をクリックします。
Default login form のドロップダウンで "HTTP login form" を選択します。
Case-sensitive login がディレクトリのポリシーに適しているか判断します。
最後に Update ボタンをクリックします。

12. ブラウザの設定（例として Firefox を使用）: network.negotiate-auth.trusted-uris を Negotiate を実行するホスト（dc01.example.com）に設定し、ブラウザが Kerberos トークンを自動送信するようにします。

about:config 内で:

network.negotiate-auth.trusted-uris = dc01.example.com

これで http://dc01.example.com にアクセスすると、フォームなしでそのまま Zabbix にログインできるはずです。

13. キー/チケットを最新の状態に保ちます。
Kerberos チケットのデフォルト有効期間は約 10 時間です。
期限切れを防ぐために cron/systemd timer を追加します:

#for the web service
kinit -kt /etc/apache2/http.keytab HTTP/[email protected]
#for the monitoring user
kinit -kt /var/lib/zabbix/kerb.keytab [email protected]

14. 保守確認:

klist -k /etc/apache2/http.keytab — keytab に service principal が存在することを確認します。
sudo tail -f /var/log/apache2/error.log — GSSAPI エラーを監視します（gss_acquire_cred[_from]() failed to get server creds は、keytab/権限の問題、または principal の欠如を意味します）。
curl --negotiate が 401/403 を返す場合は、principal の誤り、チケット未取得、Host ヘッダーの不一致、またはファイルシステム権限の問題であることが多いです。ログと /etc/krb5.conf の domain マッピングを確認してください。

セキュリティとファイルパーミッションに関する注意事項

Keytabファイルは、それを必要とするアカウントのみが読み取り可能でなければなりません。例: zabbixユーザーのkeytabの場合はzabbix:zabbix所有の0400、Apacheのkeytabの場合はroot:www-data所有の0440。

ホストに長期間有効な平文パスワードを保存するのは避けてください。可能な場合はkeytabやドメイン参加済みのマシンプリンシパルを使用してください。

KRB5CCNAMEを設定したりkeytabをコピーするテストやスクリプトを実行する場合、操作後に所有権とパーミッションを再確認してください。Webサーバーが認証情報を拒否する場合、ファイルパーミッションの問題であることがよくあります。

What’s next?

14 modbus.getパラメーター

Docs

13 Zabbixを使用したKerberosの設定

概要

設定

セキュリティとファイルパーミッションに関する注意事項

What’s next?

Suggest edit

Suggest an example

Thank you!