13. Настройка Kerberos с Zabbix
Обзор
В Zabbix аутентификацию Kerberos можно использовать в веб-мониторинге и HTTP элементах данных.
На этой странице описывается пример настройки Kerberos для выполнения Zabbix сервером веб-мониторинга страницы www.example.com с использованием принципала Kerberos для процесса Zabbix в Debian/Ubuntu.
Конфигурация
1. Установите KDC и клиентские утилиты:
sudo apt update
sudo apt install krb5-kdc krb5-admin-server krb5-userВо время настройки пакетов отвечайте на запросы, например:
Default Kerberos version 5 realm: EXAMPLE.COM
Kerberos servers for your realm: localhost (or your FQDN)
Administrative server for your Kerberos realm: localhost (or your FQDN)2. Сопоставьте понятное имя хоста (необязательно, для локального тестирования).
Отредактируйте /etc/hosts и добавьте запись для вашего DC и веб-сервера, если у вас нет DNS:
sudo vi /etc/hostsПример строки, которую можно добавить:
192.168.1.100 dc01.example.com dc013. Настройте клиент Kerberos и realm KDC:
sudo vi /etc/krb5.confПример настроек:
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
rdns = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
EXAMPLE.COM = {
kdc = dc01.example.com
admin_server = dc01.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COMЕсли вы планируете использовать .localdomain или другие непубличные имена, добавьте явные сопоставления domain→realm, чтобы работало сопоставление hostname→realm.
Несоответствия здесь вызывают ошибки Server not found in Kerberos database.
4. Инициализируйте базу данных Kerberos (один раз, на хосте KDC). Задайте надежный мастер-пароль при появлении запроса:
sudo krb5_newrealm5. Создайте principal HTTP/host.fqdn@REALM, используя точное имя хоста, которое будут использовать клиенты; предпочтительно в нижнем регистре (например, HTTP/[email protected]).
Несоответствие регистра/имени вызывает Server not found in Kerberos database.
sudo kadmin.localВнутри kadmin.local:
addprinc [email protected] # administrative principal
addprinc -randkey HTTP/[email protected]
ktadd -k /etc/apache2/http.keytab HTTP/[email protected]
quitПереместите keytab на веб-хост (или оставьте локально, если это та же машина) и задайте права, пригодные для Apache:
chown www-data:www-data /etc/apache2/http.keytab
chmod 600 /etc/apache2/http.keytab
# verify
sudo -u www-data -k /etc/apache2/http.keytab6. Установите и включите модуль Apache GSSAPI:
sudo apt install libapache2-mod-auth-gssapi
sudo a2enmod auth_gssapi
sudo a2enmod headers
sudo systemctl restart apache2Не все версии mod_auth_gssapi поддерживают каждую директиву Gssapi*.
Если Apache завершается с ошибкой Invalid command 'GssapiCredStore', удалите неподдерживаемую директиву или обновите модуль.
7. Настройте VirtualHost (при необходимости скорректируйте DocumentRoot / путь к вашему веб-интерфейсу Zabbix):
sudo vi /etc/apache2/sites-available/zabbix.confВнутри zabbix.conf:
<VirtualHost *:80>
ServerName dc01.example.com
DocumentRoot /usr/share/zabbix/ui
<Directory /usr/share/zabbix/ui>
Options FollowSymLinks
AllowOverride None
Require all granted
AuthType GSSAPI
AuthName "Kerberos Login"
GssapiCredStore keytab:/etc/apache2/http.keytab
GssapiLocalName On
Require valid-user
</Directory>
RequestHeader set X-Remote-User %{REMOTE_USER}s env=REMOTE_USER
RequestHeader unset Authorization
</VirtualHost>Перезапустите Apache:
sudo systemctl restart apache28. Включите/запустите службы KDC и проверьте прослушиваемые порты (хост KDC):
sudo systemctl enable --now krb5-kdc krb5-admin-server
ss -tnlp | grep :80 # or: sudo netstat -tnlp | grep :809. Получите TGT для тестирования (запускайте от имени пользователя, который будет использовать ticket).
Ожидается, что в списке ticket будет krbtgt/[email protected].
Запускайте kinit от имени того же пользователя ОС, которому нужен ticket (например, zabbix для проверок веба или www-data/Apache для интерактивных тестов SSO в браузере).
Ticket, выданный другому пользователю ОС, не будет виден, если не настроены KRB5CCNAME и права доступа.
kinit [email protected]
klist10. Проверьте обмен SPNEGO с помощью curl (с клиента с действительным TGT).
Ответ 200 OK (или перенаправление в приложение) означает, что SPNEGO успешно выполнен:
curl -v --negotiate -u : http://dc01.example.com/11. При необходимости, если веб-интерфейс Zabbix должен принимать входы с HTTP-аутентификацией, включите HTTP auth в веб-интерфейсе Zabbix (ui/conf/zabbix.conf.php):
$ALLOW_HTTP_AUTH = true;В веб-интерфейсе перейдите в Users > Authentication и откройте вкладку HTTP settings. Отметьте флажок Enable HTTP authentication и нажмите Ok во всплывающем окне. Выберите "HTTP login form" в раскрывающемся списке Default login form. Решите, подходит ли Case-sensitive login для политики вашего каталога. Нажмите кнопку Update, чтобы завершить.
12. Настройка браузера (Firefox используется в качестве примера): задайте network.negotiate-auth.trusted-uris для хоста(ов), выполняющих Negotiate (dc01.example.com), чтобы браузер автоматически отправлял Kerberos tokens.
Внутри about:config:
network.negotiate-auth.trusted-uris = dc01.example.comТеперь при переходе на http://dc01.example.com вы должны сразу входить в Zabbix без формы.
13. Поддерживайте keys/tickets в актуальном состоянии. По умолчанию срок действия Kerberos ticket составляет примерно 10 часов. Добавьте cron/systemd timer, чтобы избежать истечения срока:
#for the web service
kinit -kt /etc/apache2/http.keytab HTTP/[email protected]
#for the monitoring user
kinit -kt /var/lib/zabbix/kerb.keytab [email protected]14. Проверки обслуживания:
klist -k /etc/apache2/http.keytab— проверьте, что service principal присутствует в keytab.sudo tail -f /var/log/apache2/error.log— отслеживайте ошибки GSSAPI (gss_acquire_cred[_from]() failed to get server credsозначает проблему с keytab/правами доступа или отсутствие principal).- Если
curl --negotiateвозвращает 401/403, это часто означает неверный principal, отсутствие ticket, несоответствие Host header или проблему с правами файловой системы; проверьте журналы и сопоставления доменов в/etc/krb5.conf.
Замечания о безопасности и правах доступа к файлам
Keytab-файлы должны быть доступны на чтение только той учётной записи, которой они нужны.
Пример доступов: 0400 с владельцем zabbix:zabbix для keytab-файла пользователя zabbix, либо 0440 и root:www-data для keytab-файла для Apache.
Избегайте хранения долговременных паролей в открытом виде на хосте. По возможности используйте keytab-файлы или принципалы машин, подключённых к домену.
При запуске тестов или скриптов, устанавливающих KRB5CCNAME или копирующих keytab-файлы, дважды проверьте владельцев и права доступа после операции — веб-сервер, отклоняющий учётные данные, обычно является проблемой с правами доступа к файлу.