Documentation
Table of Contents
3 Аутентификация
Обзор
В разделе Администрирование → Аутентификация можно задать глобальный метод аутентификации в Zabbix. Доступны следующие методы аутентификации внутренний, HTTP и LDAP.
Обратите внимание, что метод аутентификации можно изменить на уровне группы пользователей.
По умолчанию, глобально используется внутренний метод Zabbix аутентификации. Чтобы изменить его:
- на HTTP - перейдите на Настройки HTTP вкладку и введите детали аутентификации;
- на LDAP - выберите LDAP как Аутентификация по умолчанию и введите детали аутентификации на вкладке Настройки LDAP.
После завершения нажмите на Обновить внизу формы.
HTTP аутентификация
Для проверки имён пользователей и паролей можно использовать HTTP или аутентификацию на основе веб-сервера (например: Basic Authentication, NTLM/Kerberos). Обратите внимание, что пользователь должен также существовать и в Zabbix, однако, его Zabbix пароль не будет использоваться.
Будьте осторожны! Убедитесь, что аутентификация на основе веб-сервера настроена и работает корректно перед тем как переключиться на неё.
Параметры конфигурации:
| Параметр | Описание |
|---|---|
| Активация HTTP аутентификации | Отметьте, чтобы активировать HTTP аутентификацию. |
| Диалог входа в систему по умолчанию | Укажите куда следует перенаправлять пользователей не прошедших аутентификацию успешно: Диалог входа в систему Zabbix - стандартная страница входа в Zabbix. HTTP диалог входа в систему - страница входа HTTP. Рекомендуется включить аутентификацию на основе веб-сервера только для index_http.php страницы. Если Диалог входа в систему по умолчанию задан значением 'HTTP диалог входа в систему' пользователь будет входить в систему автоматически, если модуль аутентификации веь-сервера задаст корректное имя пользователя в$_SERVER переменной.Поддерживаемыми ключами $_SERVER являются PHP_AUTH_USER, REMOTE_USER, AUTH_USER. |
| Удаление имени домена | Список имён доменов, разделённых запятой, которые необходимо удалить с имени пользователя. Например, компания,любая - если именем пользователя является 'Admin@любая', 'компания\Admin', пользователь выполнит вход как 'Admin'; если имя пользователя 'некомпания\Admin', вход в систему будет запрещён. |
| Регистрозависимое имя входа | Уберите отметку, чтобы отключить чувствительный к регистру вход (активирован по умолчанию) для имён пользоваталей. Например, отключите чувствительный к регистру вход и входите, например, как 'ADMIN' пользователь даже, если Zabbix пользователь 'Admin'. Обратите внимание, что не чувствительный к регистру вход будет заблокирован, если в базе данных Zabbix существуют несколько пользователей с одинаковыми псевдонимами (например: Admin, admin). |
В случае аутентификации на базе веб-сервера все пользователи (даже с доступом к веб-интерфейсу со значением Внутренний) будут аутентифицироваться веб-сервером, а не Zabbix!
Для внутренних пользователей, которые не смогли выполнить вход с использованием учётных данных HTTP (с HTTP диалогом входа в систему по умолчанию), которая приводит к 401 ошибке, вы возможно захотите добавить строку ErrorDocument 401 /index.php?form=default к директивам простой аутентификации, которая впоследствии приведёт к обычному диалогу Zabbix входа в систему.
LDAP аутентификация
Можно использовать внешнюю аутентификацию LDAP для проверки имен пользователей и паролей. Обратите внимание, что пользователь также должен существовать в Zabbix, однако его пароль из Zabbix не будет использоваться.
Хотя LDAP аутентификация задается глобально некоторые группы пользователей могут всё еще аутентифицироваться с помощь Zabbix. У этих групп доступ к веб-интерфейсу должен быть задан значением Внутренний. И наоборот, если глобально используется внутренняя аутентификация, детали LDAP аутентификации можно задать и использовать по отдельным группам пользователей у которых доступ к веб-интерфейсу задан значением LDAP.
Аутентификация Zabbix LDAP работает по крайней мере с Microsoft Active Directory и OpenLDAP.
Параметры настроек:
| Параметр | Описание |
|---|---|
| Активация LDAP аутентификации | Отметьте, чтобы активировать LDAP аутентификацию. |
| Хост LDAP | Имя LDAP сервера. Например: ldap://ldap.zabbix.com Используйте протокол ldaps для безопасного LDAP сервера. ldaps://ldap.zabbix.com При использовании OpenLDAP 2.x.x и более поздних можно использовать полный LDAP URI в форме ldap://имяхоста:порт или ldaps://имяхоста:порт. |
| Порт | Порт LDAP сервера. По умолчанию 389. Для безопасного подключения к LDAP обычно используется номер порта 636. Не используется при использовании полных LDAP URI. |
| База для поиска (BaseDN) | Базовый путь для поиска аккаунтов: ou=Users,ou=system (в OpenLDAP), DC=company,DC=com (в Microsoft Active Directory) |
| Атрибут поиска | Атрибут LDAP аккаунта, который необходимо использовать для поиска: uid (в OpenLDAP), sAMAccountName (в Microsoft Active Directory) |
| Имя для подключения (Bind DN) | LDAP аккаунт для выполнения подключения и поиска на LDAP сервере, примеры: uid=ldap_search,ou=system (в OpenLDAP), CN=ldap_search,OU=user_group,DC=company,DC=com (в Microsoft Active Directory) Анонимное подключение поддерживается начиная с Zabbix 4.0.4. |
| Регистрозависимое имя входа | Уберите отметку, чтобы отключить чувствительный к регистру вход (активирован по умолчанию) для имён пользователей. Например, отключите чувствительный к регистру вход и входите, например, как 'ADMIN' пользователь даже, если Zabbix пользователь 'Admin'. Обратите внимание, что не чувствительный к регистру вход будет заблокирован, если в базе данных Zabbix существуют несколько пользователей с одинаковыми псевдонимами (например: Admin, admin). |
| Пароль подключения (Bind password) | Пароль LDAP аккаунта для выполнения подключения и поиска на LDAP сервере. |
| Тест аутентификации | Заголовок раздела тестирования |
| Вход в систему | Имя тестового пользователя (который выполнил вход в веб-интерфейс Zabbix). Это имя пользователя должно существовать на LDAP сервере. Zabbix не активирует LDAP аутентификацию, если не удается авторизовать тестового пользователя. |
| Пароль пользователя | Пароль LDAP к тестовому пользователю. |
В случае проблем с сертификатами, чтобы заработало безопасное соединение LDAP (ldaps), вам возможно потребуется добавить TLS_REQCERT allow строку в файл конфигурации /etc/openldap/ldap.conf. Эта настройка может снизить уровень безопасности подключения к LDAP каталогу.
Рекомендуется создать отдельный LDAP аккаунт (Имя для подключения (Bind DN)), чтобы подключаться и искать на LDAP сервере с минимальными привилегиями в LDAP, вместо использования реальных аккаунтов пользователей (используемые для входа в веб-интерфейс Zabbix).
Такой подход более безопасный и не потребует изменения Пароль подключения (Bind password), если пользователь изменит свой собственный пароль на LDAP сервере.
В таблице представленной выше это имя аккаунта ldap_search.