2 LDAP
Pārskats
Ārējo LDAP autentifikāciju var izmantot, lai pārbaudītu lietotājvārdus un paroles.
Zabbix LDAP autentifikācija darbojas vismaz ar Microsoft Active Directory un OpenLDAP.
Ja ir konfigurēta tikai LDAP pierakstīšanās, tad lietotājam ir jāeksistē arī Zabbix, taču tā Zabbix parole netiks izmantota. Ja autentifikācija ir veiksmīga, tad Zabbix salīdzinās lokālu lietotājvārdu ar lietotājvārda atribūtu, ko atgriež LDAP.
Lietotāju nodrošināšana
Ir iespējams konfigurēt JIT (just-in-time) lietotāju nodrošināšanu LDAP lietotājiem. Šajā gadījumā nav nepieciešams, lai lietotājs jau eksistētu Zabbix. Lietotāja kontu var izveidot, kad lietotājs pirmo reizi piesakās Zabbix.
Kad LDAP lietotājs ievada savu LDAP pieteikšanās vārdu un paroli, Zabbix pārbauda, vai šis lietotājs eksistē noklusējuma LDAP serverī. Ja lietotājs eksistē un viņam vēl nav konta Zabbix, Zabbix tiek izveidots jauns lietotājs, un lietotājs var pieteikties.
Lietotājs, kas izveidots, izmantojot JIT nodrošināšanu, tiek saistīts ar LDAP serveri (direktoriju), kas izveides brīdī ir iestatīts kā noklusējuma serveris. Vēlāka noklusējuma LDAP servera maiņa nemaina un neatjaunina LDAP serveri, kas ir saistīts ar lietotājiem, kuri jau tika nodrošināti.
Ja JIT nodrošināšana ir iespējota, cilnē Authentication ir jānorāda lietotāju grupa atnodrošinātajiem lietotājiem.
JIT nodrošināšana arī ļauj atjaunināt nodrošināto lietotāju kontus, pamatojoties uz izmaiņām LDAP. Piemēram, ja lietotājs tiek pārvietots no vienas LDAP grupas uz citu, lietotājs tiks pārvietots arī no vienas grupas uz citu Zabbix; ja lietotājs tiek noņemts no LDAP grupas, lietotājs tiks noņemts arī no grupas Zabbix un, ja tas nepieder nevienai citai grupai, pievienots atnodrošināto lietotāju grupai. Nodrošināto lietotāju konti tiek atjaunināti, pamatojoties uz konfigurēto nodrošināšanas periodu vai kad lietotājs piesakās Zabbix.
Ņemiet vērā, ka fona nodrošināšanu veic Zabbix lietotāja saskarne, kad lietotājs ar to mijiedarbojas vai vismaz pārlūkprogrammā ir atvērta lietotāja saskarnes lapa. Nav īpašu fona procesu lietotāju nodrošināšanai.
LDAP atbalsta trīs veidus, kā piesaistīties direktorijam autentifikācijai un meklēšanai:
- Anonīma piesaiste — netiek norādīts Bind DN / Bind password, un LDAP serveris atļauj anonīmus vaicājumus.
- Īpašs piesaistes lietotājs (servisa konts) — konkrēts LDAP konts tiek iestatīts laukos Bind DN / Bind password un Zabbix to izmanto meklēšanai un nodrošināšanai. Šī ir ieteicamā un elastīgākā iespēja, jo Zabbix var veikt meklēšanu un fona nodrošināšanu bez galalietotāja akreditācijas datiem.
- Tieša lietotāja piesaiste — Zabbix veic piesaisti, izmantojot akreditācijas datus, ko lietotājs ievada pieteikšanās laikā (nav konfigurēts Bind DN / Bind password); to konfigurē, Base DN iekļaujot vietturi, piemēram,
uid=%{user}. Šajā režīmā Zabbix piekļūst lietotāja parolei tikai interaktīvās pieteikšanās laikā. Tādēļ nodrošināšanas darbības, kurām nepieciešama autentificēšanās LDAP ārpus lietotāja pieteikšanās sesijas (piemēram, izmantojot pogu Provision now vai veicot fona nodrošināšanu, kad lietotājs nav aktīvi pieteicies), nevar autentificēties un tādēļ nedarbosies. Tiešās lietotāja piesaistes gadījumā nodrošināšana un atjauninājumi notiek tikai brīdī, kad lietotājs piesakās.
Vairāki serveri
Ja nepieciešams, var definēt vairākus LDAP serverus. Piemēram, citu serveri var izmantot citas lietotāju grupas autentificēšanai. Kad LDAP serveri ir konfigurēti, lietotāju grupas konfigurācijā kļūst iespējams atlasīt attiecīgajai lietotāju grupai nepieciešamo LDAP serveri.
Ja lietotājs ir vairākās lietotāju grupās un vairākos LDAP serveros, autentificēšanai tiks izmantots pirmais serveris LDAP serveru sarakstā, kas sakārtots pēc nosaukuma augošā secībā.
Konfigurācija
Konfigurācijas parametri:
| Parametrs | Apraksts |
|---|---|
| Iespējot LDAP autentifikāciju | Atzīmējiet izvēles rūtiņu, lai iespējotu LDAP autentifikāciju. |
| Iespējot JIT nodrošināšanu | Atzīmējiet izvēles rūtiņu, lai iespējotu JIT nodrošināšanu. |
| Serveri | Noklikšķiniet uz Pievienot, lai konfigurētu LDAP serveri (skatiet LDAP servera konfigurācija zemāk). |
| Reģistrjutīgs pieteikšanās vārds | Noņemiet atzīmi no izvēles rūtiņas, lai atspējotu reģistrjutīgu pieteikšanos lietotājvārdiem (pēc noklusējuma iespējots). Atspējojot reģistrjutīgu pieteikšanos, ir iespējams, piemēram, pieteikties kā "admin", pat ja Zabbix lietotājs ir "Admin" vai "ADMIN". Lūdzu, ņemiet vērā, ka, ja reģistrjutīga pieteikšanās ir atspējota un pastāv vairāki Zabbix lietotāji ar līdzīgiem lietotājvārdiem (piemēram, Admin un admin), pieteikšanās šiem lietotājiem vienmēr tiks liegta ar šādu kļūdas ziņojumu: "Autentifikācija neizdevās: norādītie akreditācijas dati nav unikāli." |
| Nodrošināšanas periods | Iestatiet nodrošināšanas periodu, t.i., cik bieži pieteicies lietotājs tiks nodrošināts, strādājot ar lietotāja saskarne. |
LDAP servera konfigurācija
LDAP servera konfigurācijas parametri:
| Parametrs | Apraksts |
|---|---|
| Name | LDAP servera nosaukums Zabbix konfigurācijā. |
| Host | LDAP servera resursdatora nosaukums, IP vai URI. Piemēri: ldap.example.com, 127.0.0.1, ldap://ldap.example.com Drošam LDAP serverim izmantojiet ldaps protokolu un resursdatora nosaukumu. Piemērs: ldaps://ldap.example.com Ar OpenLDAP 2.x.x un jaunākām versijām var izmantot pilnu LDAP URI formā ldap://hostname:port vai ldaps://hostname:port. |
| Port | LDAP servera ports. Noklusējuma vērtība ir 389. Drošam LDAP savienojumam porta numurs parasti ir 636. Netiek izmantots, ja tiek lietoti pilni LDAP URI. |
| Base DN | Bāzes ceļš uz lietotāju kontiem LDAP serverī: ou=Users,ou=system (OpenLDAP gadījumā), DC=company,DC=com (Microsoft Active Directory gadījumā) uid=%{user},dc=example,dc=com (tiešai lietotāja piesaistei, skatiet piezīmi zemāk) |
| Search attribute | LDAP konta atribūts, ko izmanto meklēšanai: uid (OpenLDAP gadījumā), sAMAccountName (Microsoft Active Directory gadījumā) |
| Bind DN | LDAP konts piesaistei un meklēšanai LDAP serverī, piemēri: uid=ldap_search,ou=system (OpenLDAP gadījumā), CN=ldap_search,OU=user_group,DC=company,DC=com (Microsoft Active Directory gadījumā) Tiek atbalstīta arī anonīma piesaiste. Ņemiet vērā, ka anonīma piesaiste potenciāli atver domēna konfigurāciju neautorizētiem lietotājiem (informācija par lietotājiem, datoriem, serveriem, grupām, pakalpojumiem utt.). Drošības apsvērumu dēļ atspējojiet anonīmās piesaistes LDAP hostos un tā vietā izmantojiet autentificētu piekļuvi. |
| Bind password | LDAP parole kontam, ko izmanto piesaistei un meklēšanai LDAP serverī. |
| Description | LDAP servera apraksts. |
| Configure JIT provisioning | Atzīmējiet šo izvēles rūtiņu, lai parādītu opcijas, kas saistītas ar JIT nodrošināšanu. |
| Group configuration | Izvēlieties grupu konfigurācijas metodi: memberOf - meklējot lietotājus un to grupas dalības atribūtu groupOfNames - meklējot grupas, izmantojot member atribūtu Ņemiet vērā, ka memberOf ir ieteicamāks, jo tas ir ātrāks; izmantojiet groupOfNames, ja jūsu LDAP serveris neatbalsta memberOf vai ir nepieciešama grupu filtrēšana. |
| Group name attribute | Norādiet atribūtu, no kura iegūt grupas nosaukumu no visiem objektiem atribūtā memberOf (skatiet lauku User group membership attribute)Grupas nosaukums ir nepieciešams lietotāju grupu kartēšanai. |
| User group membership attribute | Norādiet atribūtu, kas satur informāciju par grupām, kurām lietotājs pieder (piemēram, memberOf).Piemēram, atribūts memberOf var saturēt šādu informāciju: memberOf=cn=zabbix-admin,ou=Groups,dc=example,dc=comŠis lauks ir pieejams tikai metodei memberOf. |
| User name attribute | Norādiet atribūtu, kas satur lietotāja vārdu. |
| User last name attribute | Norādiet atribūtu, kas satur lietotāja uzvārdu. |
| User group mapping | Kartējiet LDAP lietotāju grupas šablonu uz Zabbix lietotāju grupu un lietotāja lomu. Tas ir nepieciešams, lai noteiktu, kādu lietotāju grupu/lomu nodrošinātais lietotājs saņems Zabbix. Noklikšķiniet uz Add, lai pievienotu kartējumu. Lauks LDAP group pattern atbalsta aizstājējzīmes. Grupas nosaukumam jāsakrīt ar esošu grupu. Ja LDAP lietotājs atbilst vairākām Zabbix lietotāju grupām, lietotājs kļūst par visu šo grupu dalībnieku. Ja lietotājs atbilst vairākām Zabbix lietotāju lomām, lietotājs saņems to, kurai ir augstākais atļauju līmenis. |
| Media type mapping | Kartējiet lietotāja LDAP mediju atribūtus (piemēram, e-pastu) uz Zabbix lietotāja medijiem paziņojumu sūtīšanai (atribūta vērtība tiek izmantota kā medija lauks Send to). |
| Advanced configuration | Noklikšķiniet uz etiķetes Advanced configuration, lai parādītu paplašinātās konfigurācijas opcijas (skatiet zemāk). |
| StartTLS | Atzīmējiet izvēles rūtiņu, lai, pieslēdzoties LDAP serverim, izmantotu StartTLS operāciju. Savienojums neizdosies, ja serveris neatbalsta StartTLS. StartTLS nevar izmantot ar serveriem, kas izmanto ldaps protokolu. |
| Search filter | Definējiet pielāgotu virkni, autentificējot lietotāju LDAP. Tiek atbalstīti šādi vietturi:%{attr} - meklēšanas atribūta nosaukums (uid, sAMAccountName)%{user} - autentificējamā lietotāja lietotājvārda vērtībaPiemēram, lai veiktu reģistrjutīgu meklēšanu reģistrnejutīgā LDAP vai Microsoft Active Directory vidē, virkni var definēt šādi: (%{attr}:caseExactMatch:=%{user}).Ja filtrs nav pielāgots, LDAP izmantos noklusējuma vērtību: (%{attr}=%{user}). |
Lai konfigurētu LDAP serveri tiešai lietotāja piesaistei, pievienojiet atribūtu uid=%{user} parametram Base DN (piemēram,uid=%{user},dc=example,dc=com) un atstājiet parametrus BindDN un Bind password tukšus.
Autentificēšanas laikā vietturis %{user} tiks aizstāts ar pieteikšanās laikā ievadīto lietotājvārdu.
Izmantojot tiešo lietotāja piesaisti, Zabbix ir piekļuve tikai lietotāja akreditācijas datiem interaktīvās pieteikšanās laikā.
Tāpēc nodrošināšanas uzdevumi, kas darbojas bez interaktīvas pieteikšanās (piemēram, poga Provision now vai API metode user.provision), ignorēs lietotājus, kuri autentificējas, izmantojot tiešo lietotāja piesaisti, jo Zabbix nevar veikt piesaisti viņu vārdā.
Izmantojiet anonīmu piesaisti vai īpašu piesaistes lietotāju (servisa kontu), ja nepieciešams, lai nodrošināšana un LDAP meklēšana darbotos no lietotāja saskarne bez prasības, lai galalietotājs būtu pieteicies.
Tālāk norādītie lauki ir specifiski metodei "groupOfNames" kā Group configuration metodei:
| Parametrs | Apraksts |
|---|---|
| Group base DN | Bāzes ceļš uz grupām LDAP serverī. |
| Group name attribute | Norādiet atribūtu, no kura iegūt grupas nosaukumu norādītajā bāzes ceļā uz grupām. Grupas nosaukums ir nepieciešams lietotāju grupu kartēšanai. |
| Group member attribute | Norādiet atribūtu, kas satur informāciju par grupas dalībniekiem LDAP (piemēram, member). |
| Reference attribute | Norādiet atsauces atribūtu grupas filtram (skatiet lauku Group filter). Pēc tam izmantojiet %{ref} grupas filtrā, lai iegūtu vērtības šeit norādītajam atribūtam. |
| Group filter | Norādiet filtru, lai iegūtu grupu, kuras dalībnieks ir lietotājs. Piemēram, (member=uid=%{ref},ou=Users,dc=example,dc=com) atbildīs "User1", ja grupas member atribūts ir uid=User1,ou=Users,dc=example,dc=com, un atgriezīs grupu, kuras dalībnieks ir "User1". |
Ja rodas problēmas ar sertifikātiem, lai drošs LDAP savienojums (ldaps) darbotos, iespējams, būs jāpievieno rinda TLS_REQCERT allow konfigurācijas failam /etc/openldap/ldap.conf.
Tas var samazināt savienojuma ar LDAP katalogu drošību.
Ieteicams izveidot atsevišķu LDAP kontu (Bind DN), lai veiktu piesaisti un meklēšanu LDAP serverī ar minimālām tiesībām LDAP vidē, nevis izmantot reālus lietotāju kontus (kas tiek izmantoti pieteikšanās veikšanai Zabbix lietotāja saskarne).
Šāda pieeja nodrošina lielāku drošību un neprasa mainīt Bind password, kad lietotājs LDAP serverī nomaina savu paroli.
Iepriekš redzamajā tabulā tas ir konta nosaukums ldap_search.
Piekļuves testēšana
Poga Test ļauj pārbaudīt lietotāja piekļuvi:
| Parametrs | Apraksts |
|---|---|
| Login | LDAP lietotāja vārds testēšanai (iepriekš aizpildīts ar pašreizējā lietotāja vārdu no Zabbix lietotāja saskarne). Šim lietotāja vārdam jāeksistē LDAP serverī. Zabbix neaktivizēs LDAP autentifikāciju, ja tas nespēs autentificēt testa lietotāju. |
| User password | LDAP lietotāja parole testēšanai. |