К сожалению не могу понять в чем проблема, поэтому обращаюсь к сообществу. Нашел подобную тему: https://www.zabbix.com/forum/in-russ...86%D0%B8%D1%8F , но у меня что-то другое, хотя LDAP-браузер оттуда я взял себе на заметку.
У меня Zabbix5.4 установлен на Ubuntu 20.04, всё это крутится пока на VirtualBox. Также ради тестов на VirtualBox, на Ubuntu 20.04 запущен TACACS-Server с аутентификацией на LDAPS.
Чтобы не плодить в домене тестовых системных пользователей, использую пользователя «tacacs» в обоих случаях для того чтобы делать запросы к LDAP.
Настроек LDAP в Zabbix-е не так уж много и они полностью совпадают с настройками TACACS:
В TACACS-е доменные пользователи аутентифицируются без проблем. В Zabbix-e я пробовал и с LDAP и с LDAPS (порт 389/636), с различными вариантами записи в поле “LDAP host” (ldaps://10.10.10.10:636, ldaps://10.10.10.10 и т.п. и для ldap) к сожалению результата нет.
Установил LDAP-браузер на машину с Zabbix. Если я присоединяюсь к LDAP-серверу под пользователем “tacacs” то могу видеть у доменных пользователей поле “sAMAccountName”. То есть у пользователя “tacacs” хватает прав. Это еще раз подтверждается корректной работой сервера TACACS.
Доменный пользователь “tacacs” входит в группу админов на Zabbix-сервере и “tacacs” на Zabbix зайти может.
Заметил такую вещь, если я ставлю настройки "искать пользователей от имени моей личной учетки" (Bind DN CN=wsch,OU=...), то могу под своей личной учеткой (wsch) залогиниться на Zabbix. НО тогда не может залогиниться пользователь tacacs, хотя имеет админские права.
Что еще можно посмотреть? Есть ли у заббикса лог-аутентификации или какая-нибудь утилита проверки ldap-аутентификации?
У меня Zabbix5.4 установлен на Ubuntu 20.04, всё это крутится пока на VirtualBox. Также ради тестов на VirtualBox, на Ubuntu 20.04 запущен TACACS-Server с аутентификацией на LDAPS.
Чтобы не плодить в домене тестовых системных пользователей, использую пользователя «tacacs» в обоих случаях для того чтобы делать запросы к LDAP.
Настроек LDAP в Zabbix-е не так уж много и они полностью совпадают с настройками TACACS:
setenv LDAP_SERVER_TYPE = "microsoft"
setenv LDAP_HOSTS = "ldaps://10.10.10.10:636"
setenv LDAP_SCOPE = sub
setenv LDAP_BASE = "dc=domainname,dc=intra"
setenv LDAP_FILTER = "(&(objectclass=user)(sAMAccountName=%s))"
setenv LDAP_USER = "tacacs"
setenv LDAP_PASSWD = "password"
setenv LDAP_HOSTS = "ldaps://10.10.10.10:636"
setenv LDAP_SCOPE = sub
setenv LDAP_BASE = "dc=domainname,dc=intra"
setenv LDAP_FILTER = "(&(objectclass=user)(sAMAccountName=%s))"
setenv LDAP_USER = "tacacs"
setenv LDAP_PASSWD = "password"
Установил LDAP-браузер на машину с Zabbix. Если я присоединяюсь к LDAP-серверу под пользователем “tacacs” то могу видеть у доменных пользователей поле “sAMAccountName”. То есть у пользователя “tacacs” хватает прав. Это еще раз подтверждается корректной работой сервера TACACS.
Доменный пользователь “tacacs” входит в группу админов на Zabbix-сервере и “tacacs” на Zabbix зайти может.
Заметил такую вещь, если я ставлю настройки "искать пользователей от имени моей личной учетки" (Bind DN CN=wsch,OU=...), то могу под своей личной учеткой (wsch) залогиниться на Zabbix. НО тогда не может залогиниться пользователь tacacs, хотя имеет админские права.
Что еще можно посмотреть? Есть ли у заббикса лог-аутентификации или какая-нибудь утилита проверки ldap-аутентификации?