Ad Widget

Collapse

не работает ldap авторизация

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • libo1987
    Junior Member
    • Jul 2018
    • 9
    #1

    не работает ldap авторизация

    Коллеги, добрый день!
    Поднял сервер CentOS 7, поставил Zabbix 3.4, все работает. Пытаюсь настроить авторизацию LDAP по этому мануалу https://www.zabbix.com/documentation...authentication
    Ничего не выходит... Собственно ошибка:
    • ldap_bind(): Unable to bind to server: Invalid credentials [authentication.php:159 → CLdapAuthValidator->validate() → CLdap->checkPass() → ldap_bind() in include/classes/ldap/CLdap.php:114]
    • LDAP: cannot bind by given Bind DN.

    Мои настройки:
    Хост LDAP: dc.domen.com
    Порт: 389
    База для поиска (Base DN): DC=domen,DC=com
    Атрибут поиска: sAMAccountName
    Имя для подключения (Bind DN): CN=zabbix,OU=NewOU,DC=domen,DC=com
    Пользователь zabbix и домена совпадают вплоть до пароля.

    Пожалуйста, подскажите, как это победить?
    Tags: None
    • Kos
      Senior Member
      Zabbix Certified SpecialistZabbix Certified Professional
      • Aug 2015
      • 3404
      #2
      Судя по имени сервера и атрибуту поиска, LDAP-сервером у Вас выступает контроллер домена Active Directory?

      1) у Вас указано:
      Code:
      Хост LDAP: dc.domen.com
      Должно быть (см. примеры в таблице):
      Code:
      Хост LDAP: ldap://dc.domen.com
      2) сервер Zabbix корректно разрешает имя "dc.domen.com"? По всей видимости, это Ваш локальный домен; соответственно - либо это имя должно разрешаться вашим же локальным DNS-ом, либо должно быть прописано у сервера в /etc/hosts.

      3) сам контроллер домена позволяет нешифрованные соединения к нему?
      Безопаснее идти через SSL (Хост LDAP: ldaps://dc.domen.com, порт: 636), но тогда ещё на стороне сервера Zabbix нужно подкрутить настройки OpenLDAP (см. по той же ссылке замечание про "TLS_REQCERT allow").

        Comment

        • libo1987
          Junior Member
          • Jul 2018
          • 9
          #3
          Совершенно верно, у меня ActiveDirectory

          1 - поменял: ldaps://dc.domen.com , порт: 636
          2 - все ок, прописаны DNS моего домена. адреса типа server.domen.com резолвится исправно
          3 - файл конфига openldap я до этого правил, согласно мануала - добавил строку TLS_REQCERT allow
          4 - демоны/сервер перезагружал

          Так ничего и не заработало..

          Забегая вперед - firewalld отключен (на время настройки), iptables не использую, telnet до домен контроллера по порту 636 и 389 проходит

            Comment

            • libo1987
              Junior Member
              • Jul 2018
              • 9
              #4
              Не знаю, имеет ли значение, но у меня этот сервер в домене (если можно так сказать)

              Code:
              [root@server ~]# realm discover domen.com
domen.com
  type: kerberos
  realm-name: DOMEN.COM
  domain-name: domen.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools
  login-formats: %[email protected]
  login-policy: allow-permitted-logins
  permitted-logins:
  permitted-groups: [email protected]
              Last edited by libo1987; 01-08-2018, 09:59.

                Comment

                • libo1987
                  Junior Member
                  • Jul 2018
                  • 9
                  #5
                  Прощу прощения.
                  Все оказалось куда проще чем я думал.
                  Проблема была в том, что учетная запись domen\zabbix была заблокирована из-за многократного ввода неверного пароля.

                  Тему можно закрывать.

                    Comment

                    Previous template Next
                    Working...