Ad Widget

**Kos** · 27-11-2024, 10:30

Начиная с Zabbix 6.2, можно в настройках LDAP указывать: а) несколько серверов, б) дополнительный фильтр при поиске.
До этого можно играться, разве что, правами пользователя в AD, от имени которого делается привязка (binding) к LDAP, ограничивая ему видимость той или иной частью дерева.
Но правильнее всего, наверное, было бы подобрать вместо имени пользователя такой атрибут, который был бы уникален в пределах всего дерева - например, mail или userPrincipalName (но тогда и в Zabbix-е его надо заводить с таким именем, и при логине указывать именно его).

**Alex_UUU** · 27-11-2024, 09:33

Одинаковый, в смысле имя одинаково? Пользователи же разные. И пароли у них - разные.
А если в атрибуте поиска указать uid ?

**Inoyat.Kayumov** · 27-11-2024, 09:57

Одинаковое имя - [email protected], [email protected]
Пароли конечно разные - но в zabbix пользователь-то заведен просто как petrov_pp - как их идентифицировать по разным поддоменам?

**Kos** · 27-11-2024, 10:11

У вас один LDAP сервер возвращает информацию о пользователях из разных поддоменов?
Судя по имени атрибута SaMAccountName, речь идёт про MS Active Directory. Я не шибко большой специалист в AD, но разве он позволяет заводить в одном дереве пользователей с одинаковым значением этого атрибута? А если позволяет, то постарайтесь сформулировать - как бы вы сами хотели решать проблему аутентификации: если при логине пользователь указывает неуникальный атрибут, как должен проходить поиск нужного пользователя?

**Inoyat.Kayumov** · 27-11-2024, 10:17

Да, это MS AD.
Пока тестирую варианты:
- в zabbix заводить пользователя используя "полное" имя
- изменить аттрибут поиска

**Kos** · 27-11-2024, 10:30

Начиная с Zabbix 6.2, можно в настройках LDAP указывать: а) несколько серверов, б) дополнительный фильтр при поиске.
До этого можно играться, разве что, правами пользователя в AD, от имени которого делается привязка (binding) к LDAP, ограничивая ему видимость той или иной частью дерева.
Но правильнее всего, наверное, было бы подобрать вместо имени пользователя такой атрибут, который был бы уникален в пределах всего дерева - например, mail или userPrincipalName (но тогда и в Zabbix-е его надо заводить с таким именем, и при логине указывать именно его).

Ad Widget

Авторизация через LDAP

Авторизация через LDAP

Comment

Comment

Comment

Comment

Comment

Comment