Ad Widget

**Kos** · 26-06-2019, 15:25

Убедитесь, что имя пользователя и пароль набираете в том же регистре, и что регистр букв в имени пользователя в Zabbix-е и в AD совпадает.

**y26rus** · 26-06-2019, 15:30

Originally posted by Kos

Убедитесь, что имя пользователя и пароль набираете в том же регистре, и что регистр букв в имени пользователя в Zabbix-е и в AD совпадает.

Перепроверил, регистр в некоторых буквах имени отличался, исправил, но войти так и не получается. Ошибка повторяется.

**Kos** · 26-06-2019, 17:20

Параметр Base DN верно выставлен? Реальный пользователь в AD действительно находится ниже этого DN?
Search attribute как задан?

**y26rus** · 27-06-2019, 07:44

Originally posted by Kos

Параметр Base DN верно выставлен? Реальный пользователь в AD действительно находится ниже этого DN?
Search attribute как задан?

Тестовый пользователь zabbix, которого создал в AD подсоединяется. Тест проходит.
Хост XXXX.YYY.RU
Base DN DC=XXXX, DC=YYY, DC=RU
Атрибут поиска sAMAccountName
Реальный пользователь ниже этого DN

**Kos** · 28-06-2019, 08:27

Я бы пробовал отлаживаться с помощью любого LDAP-браузера. Сам пользуюсь достаточно древним LDAP Browser/Editor v2.8.2 (by Jarek Gawor); несмотря на свой возраст - отличный инструмент. По крайней мере, можно убедиться, что: 1) можно подключиться нужным пользователем; 2) этому пользователю доступны нужные объекты и их атрибуты; 3) имена объектов, классов, атрибутов и контейнеров заданы верно.

В вашем случае меня немного смущает вот это:

Base DN DC=XXXX, DC=YYY, DC=RU

До сих пор везде, где я имел дело с доступом к AD по LDAP, контейнера DC=XXXX не было.

Ну и нужно пытаться понять, чем отличаюются тестовый пользователь (с которым всё работает) и реальный (с которым проблема). Они в разных контейнерах? У пользователя, заданного в настройках Zabbix (в разделе LDAP settings), есть нужные права?

**y26rus** · 01-07-2019, 09:21

Если убираю контейнер DC=XXXX, но выдает ошибку подключения.
По поводу LDAP Browser, удалось найти 2.8.1. Но с помощью него не могу подсоединится. В связи с этим вопрос, в поле User DN, указывать только пользователя? Или всю строку как в Zabbix-e вместе с группами OU? Надо ли ставить какие-либо дополнительные настройки и галочки?

**Kos** · 01-07-2019, 13:09

Originally posted by y26rus

Если убираю контейнер DC=XXXX, но выдает ошибку подключения.

Вы его именно из Base DN убираете? :-/ Ничего не путаете?
В вашем случае XXXX - это имя хоста; вряд ли в Active Directory вместо хоста будет контейнер с таким же именем.

Originally posted by y26rus

По поводу LDAP Browser, удалось найти 2.8.1. Но с помощью него не могу подсоединиться. В связи с этим вопрос: в поле User DN, указывать только пользователя? Или всю строку как в Zabbix-e вместе с группами OU? Надо ли ставить какие-либо дополнительные настройки и галочки?

На вкладке "Options" я оставлял всё по умолчанию.

На вкладке "Connection":

в поле "Host:" оставляете только DNS-имя хоста (без префикса "ldap://" или "ldaps://") из содержимого Zabbix-ного поля "LDAP host";
в поле "Port:" - номер порта (подставляется автоматически 389 или 636 в зависимости от положения переключателя "SSL");
в поле "Version:" оставить тройку;
в поле "Base DN:" - соответственно, содержимое аналогичного поля из настроек Zabbix-а;
галочку "Anonymous bind" убрать, в секции "User info" указать соответствующие credentials:
- в поле User DN - содержимое поля "Bind DN" из настроек Zabbix-а, галочку "append base DN" во избежание разночтений убрать;
- в поле "Password" - соответственно, пароль (то, что вводили в настройках Zabbix-а в поле "Bind password").

**y26rus** · 01-07-2019, 15:31

Originally posted by Kos

Вы его именно из Base DN убираете? :-/ Ничего не путаете?
В вашем случае XXXX - это имя хоста; вряд ли в Active Directory вместо хоста будет контейнер с таким же именем.

Ничего не путаю. У меня имя хоста, чтобы было понятнее, 026.STV.RU, только ,буквы и цифры иные.
В Base DN прописываю DC=026, DC=STV, DC=RU, убираю 026, ошибка.

**y26rus** · 01-07-2019, 15:50

LDAP Browser-ом пользователем zabbix подключится могу, а вот реальным пользователем нет. Хотя перепроверил данные, они верны. Имею ввиду логин и пароль. И в домен под этим пользователем захожу в системе Win7.

**Kos** · 01-07-2019, 16:28

Originally posted by y26rus

LDAP Browser-ом пользователем zabbix подключится могу, а вот реальным пользователем нет. Хотя перепроверил данные, они верны. Имею ввиду логин и пароль. И в домен под этим пользователем захожу в системе Win7.

Ну, значит, дело не в Zabbix-е. Надо разбираться с вашим LDAP-сервером, что ему не нравится. Смотреть, есть ли какие ошибки. В LDAP browser-е, например, можно включить отображение ошибок: меню View -> Display error log.
Кстати, если вы имеете в виду, что пробуете указывать в LDAP Browser-е (в поле User DN) то одного, то какого-то другого пользователя, то учтите, что в качестве LDAP Naming-атрибута Active Directory использует не sAMAccountName, а displayName (т.е. то, что Windows-овский MMC отображает в свойствах пользователя как "Display name", а не "User logon name").

Но, собственно, для проверки вам достаточно подключиться только служебным пользователем Zabbix и убедиться, что вы можете от имени этого пользователя видеть нужную вам часть дерева (от Base DN и дальше) и видеть там остальных пользователей, а также читать у этих "остальных" содержимое атрибутов sAMAccountName и displayName.

**y26rus** · 03-07-2019, 09:21

Премного благодарен за помощь. Как оказалось у пользователя zabbix не было прав читать имена пользователей, а лишь смотреть структуру.
Заработало.
Спасибо.

Ad Widget

LDAP Аутентификация

LDAP Аутентификация

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment